有人能幫助我..我如何逃避用戶輸入特殊字符 - 我使用的是SQL Server數據庫
我試圖逃避特殊字符:「'反斜線*和其他特殊字符,以防止SQL注入攻擊。
這裏的問題是,我使用PHP和SQL Server。
我搜索了很多,但沒有任何可以真正幫助我,特別是與'字符。
這裏是我的代碼:
public function query($sql)
{
$result = sqlsrv_query($this->connection, $sql);
return $result;
}
不要打擾。使用PDO和prepared statements。
你知道什麼,「使用PDO」確實是這種情況的正確和完整的答案。 Downvote刪除:) – 2012-02-23 11:52:51
我正在尋找一些簡單和更快.. thnx – MIlena 2012-02-23 12:02:01
@Mllena Arkh的建議真的是最好的方式去。使用家庭釀造功能並不是一個好主意。 – 2012-02-23 12:17:54
mysql_real_escape_string http://in3.php.net/manual/en/function.mysql-real-escape-string.php 使用它
這是關於SQL服務器 – 2012-02-23 11:51:11
我用這個與MySQL,但我使用SQL Server – MIlena 2012-02-23 12:01:14
顯示你正在使用的數據插入到數據庫的代碼。沒有這些,沒有人可以幫助 – 2012-02-23 11:37:31
@Pekka - 保存數據時沒有問題(沒有')。數據包含' – MIlena 2012-02-23 11:44:10
時出現的問題如上所述,顯示一些代碼 – 2012-02-23 11:47:02