关于将数据写入数据库 - 源码

标题: 关于将数据写入数据库

时间: 2013-02-13

点击: 11916

这个'符号应该怎样处理，我的数据库写入是这样的$insert_sql="insert into chatinfo(talk,time,name,uid)values('$talk','$time','$name','$user_id')";
，只要文本中出现'就会写入失败

1 . 不知............

(DaMeng/@Ta/2013-02-13 19:05/样/源)

2 . 直接使用函数不要付值

(HYGSH/@Ta/2013-02-13 19:14/样/源)

3 . 或者写入前先将'替换为中文的'，如果对'有特殊要求则可以将它替换为一个特殊的字符串输出时再替换回来

(HYGSH/@Ta/2013-02-13 19:17/样/源)

5 . 这样呢？我没有试$insert_sql="insert into `chatinfo` (`talk`,`time`,`name`,`uid`) values ('{$talk}','{$time}','{$name}','{$user_id}')";

(Sanonz/@Ta/2013-02-13 19:44/样/源)

6 . 表示我的不会http://wap.wapdn.cn

(Sanonz/@Ta/2013-02-13 19:47/样/源)

7 . 用函数转义？PHP 手册说提交的数据默认转义了的

(洋/@Ta/2013-02-13 19:54/样/源)

8 . @HYGSH，以前我也用转换的，但是老虎说过不用那样。

(anylove/@Ta/2013-02-13 19:56/样/源)

9 . @Sanonz，仍然不行

(anylove/@Ta/2013-02-13 20:01/样/源)

10 . @anylove
$insert_sql="insert into chatinfo(talk,time,name,uid)values("$talk","$time","$name","$user_id"")";
试试

(唯美无殇/@Ta/2013-02-13 21:08/样/源)

11 . @ anylove
$insert_sql='insert into chatinfo(talk,time,name,uid)values("$talk","$time","$name","$user_id")';

(唯美无殇/@Ta/2013-02-13 21:11/样/源)

12 . @Louis，""中的是常量，不是变量

(anylove/@Ta/2013-02-13 21:19/样/源)

13 . 你用的sqlite么？把'符号转换成其他的字符串输出的时候再替换出来当然替换的字符串不能太常用了

(PGF_高峰/@Ta/2013-02-13 21:40/样/源)

14 . 你用的sqlite么？把'符号转换成其他的字符串输出的时候再替换出来当然替换的字符串不能太常用了

(PGF_高峰/@Ta/2013-02-13 21:41/样/源)

15 . @anylove，
mysql使用mysql_real_escape_string函数，
sqlite是sqlite_escape_string，
pdo用pdo::quote或者预处理。

(老虎会游泳/@Ta/2013-02-15 09:19/样/源)

16 . @PGF_高峰，你也来看看。

(老虎会游泳/@Ta/2013-02-15 09:19/样/源)

17 . @洋，php5起魔术引号默认关闭（某些空间打开了，特别麻烦，得手动去除，所以虎绿林有0wap/sub/strip_quotes_gpc.sub.php）。php5.4已经废除了这个糟糕的功能。所以，你必须自己转义数据。

(老虎会游泳/@Ta/2013-02-15 09:24/样/源)

18 . @anylove，在使用pdo的预处理时，你不需要转义标识符代替的参数的引号。在其他任何情况下，必须转义，否则就是赤果果的sql注入点。

(老虎会游泳/@Ta/2013-02-15 09:26/样/源)

(老虎会游泳/@Ta/2013-02-15 09:27/样/源)

20 . 已经用转义的弄好了

(anylove/@Ta/2013-02-15 10:46/样/源)