我正在使用PDO向MySQL插入值。
我是这样做的:
我注意到如果我在输入框中键入文本
我是这样做的:
$sql = $db->prepare("INSERT INTO table(value) VALUES(?)");
$sql -> execute(array($value));
我注意到如果我在输入框中键入文本
&
,它会在插入mysql时被删除。我想这是好的,因为它表明mysql注入得到了保护?那么,如果我想将这个值作为文本呈现,例如:beer & wine
,有什么建议吗?
&
。你的字符串在查询中被引用了吗? - alex?
,不用引号。 - hellomello?
包含到引号中...而且&
与注入无关... - Damien Pirsy&
被丢弃了吗?在获取“value”字段时,使用var_dump()函数输出字符串。无论如何,也许我在之前的评论中表述得不好,但是占位符?
不应该用引号括起来。