我通过PHP文本框获取数据,并使用普通的insert命令将其插入MysqL数据库.文本框向用户发送注释,以获取文本框旁边的特定入藏ID.问题是当用户输入撇号(‘)例如句子“我们必须照顾PC”时,会抛出错误.

我知道它为什么会发生,因为sql认为它是该值的字符串的结尾,但我不知道如何逃避它.我宁愿在MysqL中转义它.

如果我在MysqL中将其转义,即使没有生成错误并且插入工作正常,它仍然可以被用作sql注入？

解决方法:

使用mysql_real_escape_string(),或者更好的是,使用PDO的参数化查询.