为sql插入,更新转义字符串的最佳方法是什么?
我想允许包含'和'的特殊字符。在插入语句中使用它之前,搜索和替换每个字符串是最好的方法吗?
由于
重复:Best way to defend against mysql injection and cross site scripting
答案 0 :(得分:5)
您应该使用参数化查询(因此扩展名为支持参数化查询的数据库接口库),以便不会发生SQL注入。
答案 1 :(得分:4)
如果您正在讨论字段的数据值,那么最好的方法是使用mysql_real_escape_string()。 (有些人喜欢mysqli;不能说我这样做。)如果你在谈论允许用户提交的查询......好吧,我们希望你不要谈论这个。