标签: php sql regex sql-injection
我在反sql注入例程中看到了这一行,那么它的含义是什么?
ereg_replace('(%)', '\\\1', $str);
答案 0 :(得分:3)
通过将%替换为\%来逃避百分号。 PHP有更好的方法来转义字符,即addcslashes:
%
\%
addcslashes
addcslashes($str, '%');`
另请注意,不推荐使用ereg系列函数,而是赞成它们的preg等价物。