我创建了一个Textarea控件。单击“提交”时,在此控件中输入的数据将转到database。但是,当用户在此控件中输入值时键入单引号并单击“提交”时,数据不会转到数据库。
如何在表单中输入数据时允许用户输入这样的特殊字符?
答案 0 :(得分:0)
在查询中插入数据时,必须使用mysql_real_escape_string()(如果是mysql数据库)将它们转义。这可以保护您免受SQL Injections。
mysql_query("INSERT INTO table(col) VALUES('".mysql_real_escape_string($data)."')");
在表单元素中显示数据时,您必须使用htmlspecialchars()函数将其转义为这样。这可以保护您免受XSS。
<textarea><?php echo htmlspecialchars($data, ENT_QUOTES); ?></textarea>