首先,我有一个接受用户输入的html编辑器。我想在数据库中存储普通的html标签,并且还要提供出现的引号(sql注入)。
例如,
$input = "<h1><strong><span style="font-size:36px">I'm waiting</span></h1>";
我需要仅在我等待时提供引用,而不是在存储到数据库之前出现在html标记之间的引号。有什么建议的方法吗?
ps:在这种情况下,请使用准备好的语句忽略PDO(或mysqli)。
答案 0 :(得分:-1)
您应该使用http://php.net/manual/en/function.mysql-real-escape-string.php来确保不会对您进行SQL注入。