有人能帮助我..我如何逃避用户输入特殊字符 - 我使用的是SQL Server数据库
我试图逃避特殊字符:“'反斜线*和其他特殊字符,以防止SQL注入攻击。
这里的问题是,我使用PHP和SQL Server。
我搜索了很多,但没有任何可以真正帮助我,特别是与'字符。
这里是我的代码:
public function query($sql)
{
$result = sqlsrv_query($this->connection, $sql);
return $result;
}
不要打扰。使用PDO和prepared statements。
你知道什么,“使用PDO”确实是这种情况的正确和完整的答案。 Downvote删除:) – 2012-02-23 11:52:51
我正在寻找一些简单和更快.. thnx – MIlena 2012-02-23 12:02:01
@Mllena Arkh的建议真的是最好的方式去。使用家庭酿造功能并不是一个好主意。 – 2012-02-23 12:17:54
mysql_real_escape_string http://in3.php.net/manual/en/function.mysql-real-escape-string.php 使用它
这是关于SQL服务器 – 2012-02-23 11:51:11
我用这个与MySQL,但我使用SQL Server – MIlena 2012-02-23 12:01:14
显示你正在使用的数据插入到数据库的代码。没有这些,没有人可以帮助 – 2012-02-23 11:37:31
@Pekka - 保存数据时没有问题(没有')。数据包含' – MIlena 2012-02-23 11:44:10
时出现的问题如上所述,显示一些代码 – 2012-02-23 11:47:02