单引号导致更新SQL失败

如果我有一个用户的电子邮件地址作为d'[email protected]我使用和addslashes使其d \'[email protected]，则以下SQL语句失败。单引号导致更新SQL失败

"UPDATE subscriptions SET sent = '1' WHERE email ='" . $email . "' Limit 1";

数据库作为电子邮件地址是d \'[email protected]。为什么UPDATE失败？

2013-07-24 gtilflm

使用预准备语句和参数绑定完全避免了这类问题。 MySQLi和PDO扩展都提供了这种功能。 – Phil

UPDATE `subscriptions` SET `sent` = '1' WHERE `email` ='" . mysql_real_escape_string($email) . "' Limit 1";

注意使用mysql_real_escape_string：mysql_ *现在已经贬值。使用MySQLi

2013-07-24 23:41:45

你知道MySQL扩展已被弃用，对吧？看到[本页顶部]的警告（http://www.php.net/manual/intro.mysql.php） – Phil

是的，坏习惯很难死。仍然试图去适应它。 :) –

在添加查询之前，总是总是转义字符串。

"UPDATE subscriptions SET sent = '1' WHERE email ='" . $dbconn->real_escape_string($email) . "' Limit 1";

如果您使用原来的mysql的API，那么你会在地方的$dbconn->real_escape_string

2013-07-24 23:37:56 Jasper

完全是我刚才说的！ – pattyd

回答