정말 간단한 질문이지만 머리가 돌아가고 있습니다.PHP SQL 쿼리를 사용하여 '변수에 있음'
웹 서비스에서 PHP를 사용하고 있습니다. 내가받는 한 항목은 SQL 데이터베이스에 저장하는 문자열입니다.
문제는 문자열을 사용하는 '나는 경우가 SQL 쿼리 오류가 발생합니다 다음
$query = "INSERT INTO TABLE (COLUMN1) VALUES ('{$_POST('string')}')";
같은 쿼리를 만들 때'포함 할 수 있어야한다.
모든 솔루션
감사
제대로 당신이 당신의 데이터베이스에 삽입하여 문자열을 이스케이프 할 필요가.
MySQLi 자원 : http://php.net/manual/en/mysqli.real-escape-string.php
PDO 자원 : 나는 당신이 앞을 찾고있는 단어가 탈출 생각 real escape string and PDO
.
이 한 번 봐 가지고 : How does one escape special characters when writing SQL queries?그것의 사용자 입력을 포함하는 쿼리에 대한 준비된 문을 사용하는 것이 항상 더 나은. 귀하의 SQL 문자열이 같은해야합니다 : 당신이 mysqli를 사용하는 경우
$query = "INSERT INTO table (column1) VALUES(?)";
이 mysqli_prepare 설명서를 참조하십시오. PHP 프레임 워크를 사용하는 경우 프레임 워크가 더 쉽게 구현 될 수 있습니다.
체크 아웃 this article 이유는 준비된 진술을 사용하는 것이 좋습니다.