当我使用 mysqli->real_escape_string 并向数据库添加一个字符串值(例如“who's”)时,它会添加字符串而不以任何方式修改引号。当我检查数据库时,其中的值是“who's”。
当我不使用 mysqli->real_escape_string 并添加一个带有单引号的字符串,如“who's”时,它不会被添加到数据库中。它无处可寻。
这不正常,是吗?
最佳答案
是的,是的。用比这更详细的方式回答这个问题有点困难。
real_escape_string() 仅转义 数据以便它可以安全地用于查询,它不会以任何方式修改数据。如果您不对它进行转义,则查询中存在语法错误,因此会失败 - 并且不会插入数据。
然而,转义数据最安全的方法是使用 prepared statements .
关于php - mysql real escape string - 这正常吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11443206/