在传递给ODBC之前纠正输入数据的正确方法

时间:2011-04-19 08:50:44

标签: php odbc escaping user-input mysql-real-escape-string

我非常习惯使用MySQL和mysql_real_escape_string(),但我得到了一个使用ODBC的新PHP项目。

在SQL字符串中转义用户输入的正确方法是什么?

addslashes()是否足够?

我想现在而不是以后才能做到这一点!

1 个答案:

答案 0 :(得分:6)

PHP ODBC驱动程序使用预处理语句而不是字符串转义。使用odbc_prepare准备SQL语句和odbc_execute来传递参数并执行语句。 (这与您使用PDO可以做的类似)。