标签: php odbc escaping user-input mysql-real-escape-string
我非常习惯使用MySQL和mysql_real_escape_string(),但我得到了一个使用ODBC的新PHP项目。
在SQL字符串中转义用户输入的正确方法是什么?
addslashes()是否足够?
我想现在而不是以后才能做到这一点!
答案 0 :(得分:6)
PHP ODBC驱动程序使用预处理语句而不是字符串转义。使用odbc_prepare准备SQL语句和odbc_execute来传递参数并执行语句。 (这与您使用PDO可以做的类似)。