使用mysql_real_escape_string()函数:
$safetext = mysql_real_escape_string($_POST['text']);
$query = "INSERT INTO my_table (`my_field`) VALUES ('$safetext')";
mysql_query($query);
那应该可以运行。
在将数据写入数据存储时,不应对其进行HTML编码 - 这样您可以将数据用于其他用途(例如电子邮件,PDF文档等)。正如Assaf所说:必须通过转义输入或使用参数化插入查询来避免SQL注入。
然而,在显示数据时,您应该,不,让我们说,必须对其进行HTML编码!这将使危险的HTML或Javascript代码无效,因为数据中存在的HTML标签将不再被浏览器识别为HTML标签。
当您允许用户发布包含HTML标记的数据时,该过程会变得更加复杂。然后,您必须放弃输出编码,而选择输入净化,这取决于您的需求(例如允许的标记)可能会非常复杂。
if (get_magic_quotes_gpc()) {
$content = stripslashes($content);
}
$content = mysql_real_escape_string($content);
你不必将其编码以便将其存储在mysql中。
确保使用参数化插入命令,以避免SQL注入。
nl2br($inputtext)。