我正在通过PHP文本框获取数据,并使用普通的insert命令将其插入MySQL数据库。文本框在文本框旁为用户提供了有关特定登录ID的注释。问题在于,当用户输入撇号(’)例如句子“我们必须照顾好PC”时,会引发错误。
我知道为什么会这样,因为SQL会将其假定为该值的字符串结尾,但是我不知道如何对其进行转义。我希望在MYSQL中转义它。
如果我在MySQL中转义它,即使没有错误生成并且插入工作正常,它仍可以用作SQL注入吗?
mysql_real_escape_string()在PDO中使用或更好地使用参数化查询。
mysql_real_escape_string()
