mysql - mysql_real_escape-string 函数中的错误未转义特殊字符

Question

我正在使用 mysql_real_escape_string 函数来转义文本中的特殊字符，以将数据插入数据库。如果我使用变量，它将不起作用。

echo  $ab=$_POST['textarea'];
when I print $ab it is showing like the following text;
$ab= ction throws js error we'll special charac
echo $av=mysql_real_escape_string($av);

当我 pirnt $av 时，它显示以下字符串

ction throws js error we'll special charac

当我在插入查询中使用 $av 值时，它仅在数据库中插入一半测试“ction throws js error we”。请让我知道如何修复它。

Answer 1

首先，请不要在新代码中使用 mysql_* 函数。他们是deprecated 。使用prepared statements与 PDO或MySQLi .

现在，如果你坚持使用 mysql_* 扩展，无论如何都要做这样的事情

$ab="";
if (isset($_POST['textarea']) && $_POST['textarea']) {
    $ab = $_POST['textarea'];
}
if (!$db = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')) {
    //connection error
} 
if (!mysql_select_db('dbname', $db)) {
    //error selecting db
}
if (!$ab = mysql_real_escape_string($ab)) {
    //error while escaping
}
$query = sprintf("INSERT INTO table VALUES('%s')", $ab);
if (!mysql_query($query)) {
    //error executing query
}

为了简洁故意省略错误处理代码