我正在构建一个网站,用户可以存储代码片段,使用PHP和MySQL数据库。但我无法确定如何安全地将用户输入的代码插入到我的数据库中。我不能使用我通常使用的“安全”函数(例如
trim
、stripslashes
等)来转换输入,因为整个重点是您可以在输入时查看代码。我已经尝试了my_real_escape_string()
,但我发现它不会转义%
和_
,这些符号可用作MySQL通配符。这是否构成威胁,或者我只能使用my_real_escape_string
?提前感谢您的帮助。
addcslashes
通常与普通转义或参数绑定一起使用,用于掩盖LIKE
表达式的占位符。 - mario