我想在javascript字符串中转义所有mysql特殊字符。
escape()函数不起作用,因为它不会转义像+
这样的字符有什么建议吗?
答案 0 :(得分:2)
请参阅Firefox's documentation for storage中绑定参数的文档。
您永远不应该尝试在其中插入值的情况下动态构造SQL语句。通过绑定参数,可以防止可能的SQL注入攻击,因为绑定参数永远不能作为SQL执行。
var statement = dbConn.createStatement("SELECT * FROM table_name WHERE id = :row_id");
statement.params.row_id = 1234;
答案 1 :(得分:1)
你可以将它AJAX到PHP并返回mysql_real_escape_str ed值。
如果您要将其转移到数据库中,那么无论如何都必须将其发送到服务器端,对吧?