好的,所以我说有一些用户输入可以从mysql数据库中选择一些内容。
我希望从mysql注入安全,所以为了这样做我会使用mysql_real_escape_string()函数。但在那之后,我想完全从变量中得到引号或者我的字符串中的任何不好的内容。
示例 - :
my title variable = Herp'
escape with mysql_real_escape_string()....
then my variable = Herp\'
现在,我想要那里的坏报价。所以,我想删除反斜杠&反斜杠之后的字符......所以它看起来像'Herp'。
我该怎么做?
抱歉,如果那令人困惑。答案 0 :(得分:1)
如果您只想过滤引号而不是转义它们,只需尝试
即可$myTitleVar = str_replace(array("'", '"'), '', $myTitleVar);
在将其插入数据库之前,我仍然建议通过mysql_real_escape_string()
或更好地运行它,使用PDO和参数绑定。
答案 1 :(得分:0)
但我会挖掘为什么会这样。检查您的magic quotes设置。出于安全原因,最好设置为off