我不确定在这种情况下使用哪一个???
$query1 = "SELECT * FROM messages WHERE
messages.custid='".htmlspecialchars($_SESSION['customerid'])."'
ORDER BY messages.id LIMIT $start, $limit ";
答案 0 :(得分:2)
使用mysql_real_escape_string ..但实际上,不要这样做
相反,安装Pear的PDO库,然后使用prepared statement进行查询
答案 1 :(得分:0)
mysql_real_escape_string()特别适用于Mysql表,如名称所示; - )