我有一个java(android)应用程序,它使用php与MS数据库通信。问题是我的应用程序的一部分。我有一个sql语句的字符串,该字符串不会插入带有单引号的数据库
String sql = "select * from table where col = 'testing' AND Col2 = 'Tester'";
我通过使用:$script = $_REQUEST['Script'];
2件事,我想将该脚本插入到数据类型为char的列中 我也想运行该脚本。谢谢!
我没有让用户在我的数据库上运行自己的脚本。当他们检查一个复选框时,StringBuilder会根据他们选择的内容构建一个脚本。因此,如果他们检查女性或男性字符串添加表*中的Select *,其中Gender ='Female'等。
答案 0 :(得分:0)
尝试:
$script = mysql_real_escape_string($_REQUEST['Script']);
答案 1 :(得分:0)
据我记得,MSSQL中的字符串用双引号表示。
$var = "select ... where col = \"testing\"";
$var = 'select ... where col = "testing"'; // more readable
就这样使用它。
如果您只收到这些查询,请考虑使用str_replace替换'with'。我知道它可能不适用于所有情况而不是简单的情况。