我在所有查询中使用mysql_real_escape_string。 addslashes未被使用,但每次使用'时,它都会在输出中转义 - 就像它被mysql_real_escape_string转义一样,然后又被某些PHP设置转义样。
是否有人知道会导致此问题的任何设置,使用mysql_real_escape_string然后stripslashes会很痛苦?
答案 0 :(得分:2)
首先确保你在php.ini中magic_quotes_gpc=Off。这会导致您添加两次,这会导致插入数据库的数据出现问题。
此外,您不应该在输出数据上使用mysql_real_escape_string或addslashes。仅在查询中使用变量,因为它会阻止SQL注入。
停止sql注入的更好方法是使用参数化的quires与PDO,ADODB或MySQLi。