所以我的代码看起来像这样。如果提交不成功,我希望表单中输入的文本保留在表单中。但是,如果我在代码中输入“(撇号)并且代码未成功提交,则输入看起来像这样带有反斜杠的\”。 。所以我得到的是。怎么样了?我真的不想让输入显示转义字符。但我还需要 mysql_real_escape_string 这样黑客就不会侵入我的数据库。请给我建议。
<?php
$title = sanitize($_POST['title']);
$description = sanitize($_POST['description']);
?>
<?php
function sanitize($data) {
return htmlentities(strip_tags(mysql_real_escape_string($data)));
}
?>
<form action="form.php" method="post" enctype='multipart/form-data'>
<input type="text" name="title" class="text-3" value="<?php echo $title; ?>" />
<textarea maxlength="1000" id="textarea" name="description" ><?php echo $description; ?></textarea><br>
<input type="submit" value="8. Submit" id="submit" name="submit" />
</form>
最佳答案
这两个函数应该处理(几乎)HTML 和 MySQL 之间的所有内容
当您想以 HTML 格式输出内容时,请使用 htmlspecialchars($value, ENT_QUOTES)
当您想在数据库中保存某些内容时,请使用mysql_real_escape_string($value)
正如您所看到的(几乎),当您使用 LIKE 时,mysql_real_escape_string 不会自动转义 % 和 _,您需要通过替换手动转义它们。
关于php - Mysql 插入 '(撇号),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31560113/