我发现像这样的一段代码:行情和SQL命令双引号PHP
<?php
class myClass {
function myFunc(&$par1) {
// [...]
$val2 = $par1->field1;
// [...]
$val3_escaped = mysql_real_escape_string($someVar2);
$cmdInsert = "insert into tab1(col1,col2,col3, col4) values(1,'$val2',\"$val3_escaped\",'val4')";
$result = mysql_query($cmdInsert, $myConnection);
}
}
?>
我不知道是什么'$val2'
和\"$val3_escaped\"
之间的区别?都有效吗? 我想这应该是正确的只有单引号,但它似乎只适用于\"
正常工作。 什么是正确的sintax?
谢谢。
使用准备好的语句。请保护您免受SQL注入。那么你甚至不需要担心引号与双引号。 – ctwheels
正确的语法是将所有它,所有停止使用已停用的'mysql_'扩展名,并移动到'mysqli_'或'pdo'准备语句与绑定参数... – CD001
这是一个非常古老的现有CRM,我是一个Java程序员,我试图修复该应用程序的一个小错误。不管怎么说,还是要谢谢你。 – Alessandro