我正在努力学习并更好地了解如何正确防止sql注入并正确提取数据库信息以显示在网站中。
我目前正在使用mqli_real_escape_string,但问题是当我提取数据时,有一个斜线,用户可能输入了撇号或引号,例如O' Connell等......
如果我使用函数删除斜杠,则无法使用mqsli_real_escape_string。
在必要时允许使用撇号的同时防止注射的正确方法是什么?
MySQL的
$name = mysqli_real_escape_string($link, $_POST['commentName']);
$comment = mysqli_real_escape_string($link, $_POST['commentMessage']);
$BID = mysqli_real_escape_string($link, $_POST['BID']);
HTML / PHP
<div class="uname"><?php echo $name ?></div>
<div class="comment"><p><?php echo $comment ?></p></div>