私はdbとの入力をエスケープしています:
mysql_real_escape_string()
私が入力した場合:
"Let's see"
DBから選択すると、
"let's see"
これをどうやって防ぐのですか?私はまずフォームに書いて、それをAJAXで.phpファイルに送信し、それを
mysql_real_escape_string()などでエスケープします。
ベストアンサー
マジッククオートがオンになっているようですが、これは素晴らしい方法ですユーザーのデータを修復可能以上に破損させる可能性があります。
グローバルを登録する良いアイディアだった。
代わりに準備文を使用してください。これはあなたのデータを悪用することはなく、攻撃者があなたのデータベースを悪用することはありません。