首先,我有一个接受用户输入的 html 编辑器。我想将纯 html 标签存储在数据库中,并满足出现的引号(sql 注入)。
例如,
$input = "<h1><strong><span style="font-size:36px">I'm waiting</span></h1>";
我只需要满足我正在等待的报价,而不是在存储到数据库之前出现在 html 标记之间的引号。有什么推荐的方法吗?
ps:在这种情况下,请忽略带有准备好的语句的 PDO(或 mysqli)。
1443 次
1 回答
-2
您应该使用http://php.net/manual/en/function.mysql-real-escape-string.php以确保不会对您进行 sql 注入。
于 2016-01-18T07:58:11.790 回答