我使用下面的函数在将字符串插入数据库之前将其转义。虽然它实际上将双撇号插入到数据库中,并且当我将其打印出来时它仍然具有双撇号。使用原始单撇号打印出值的正确方法是什么?
function mssql_escape($var){
if(get_magic_quotes_gpc()){
$var = stripslashes($var);
}
return str_replace("'", "''", $var);
}
答案 0 :(得分:0)
因为您使用的是参数化语句,所以不需要将单引号加倍。这是正确的做事方式,通常可以免受SQL注入攻击。