我想知道如何在pdo中转义字符串。 我一直在逃避弹簧一样在代码波纹管,但现在有PDO我不知道该怎么办呢如何在pdo中转义字符串?
$username=(isset($_POST['username']))? trim($_POST['username']): '';
$previlage =(isset($_GET['previlage']));
$query ="SELECT * FROM site_user
WHERE username = '".mysql_real_escape_string($_SESSION['username'])."' AND previlage ='Admin'";
$security = mysql_query($query)or die (mysql_error($con));
$count = mysql_num_rows($security);
你为什么要使用会话值'mysql_real_escape_string'? – 2013-02-26 14:35:54
请勿使用depricated mysql_ *函数。改用PDO/MySQLi。 – Boynux 2013-02-26 14:37:57
@ Mr.Alien - 大概是因为会话包含文本而没有预先转义的SQL片段。在将数据插入数据格式或将被评估为代码的字符串之前,您应该始终转义文本。 – Quentin 2013-02-26 14:38:23