可能重复:
Best way to stop SQL Injection in PHP插入 '和“到MySQL使用PHP
我试图插入'符号和”使用PHP在MySQL表。但内容有这两个迹象,我得到一个MySQL错误。
$comment="I like '''' it so ""much"" Jaan";
mysql_query("INSERT INTO `comments` (`id` ,`name` ,`date` ,`comment`) VALUES ('', '$name', '$date', '$comment')");
以上是一个例子。每当用户插入'或“在他的评论问题开始。我知道关于mysql_real_escape_string(),但我不想用这个.bcz我的评论已经被过滤。请告诉我如何可以插入评论与这些语法。每一个建议都欢迎。
STOP阅读[最佳办法阻止SQL注入](http://stackoverflow.com/questions/60174/best-way-to- stop-sql -injection-in-php)问题解决了,忽略所有关于“逃跑”的建议 – 2011-07-08 16:51:59
你想开个钉子,但不想用锤子......除了建议使用额头,我只能建议你唱出提供的工具。无论你如何过滤,你认为你所做的事情可能是不够的,mysql_real_escape_string()是** MySQL准备数据的官方方法。 –
实际上我也在考虑文件名的输入,那里有'或'可能存在,根据我的应用我不能更改文件名...所以如何输入文件名 –