データベースからselectinを実行するときに “”とエスケープの兆候はありませんか?

私はdbとの入力をエスケープしています:

mysql_real_escape_string()

私が入力した場合:

"Let's see"

DBから選択すると、

"let's see"

これをどうやって防ぐのですか?私はまずフォームに書いて、それをAJAXで.phpファイルに送信し、それを
mysql_real_escape_string()などでエスケープします。

ベストアンサー

マジッククオートがオンになっているようですが、これは素晴らしい方法ですユーザーのデータを修復可能以上に破損させる可能性があります。
グローバルを登録する良いアイディアだった。

代わりに準備文を使用してください。これはあなたのデータを悪用することはなく、攻撃者があなたのデータベースを悪用することはありません。

コメントする

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です