无法将包含撇号的数据保存到 MySQL 数据库

Question

当我尝试使用撇号提交数据时出现问题，不允许我保存到数据库中。

com0 是我的表单域。

$ucom0= mysqli_real_escape_string($_POST['com0']);

$AddQuery = "INSERT INTO database(feed1,comp1) VALUES ('".$ucom0."','".$uincrease0."')"; 

这是错误：

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's

Answer 1

带有撇号的数据会提前关闭 SQL 语句。这很糟糕，并且可能对 SQL 注入开放。你真的应该使用prepared statements。但是，可以使用mysqli_real_escape_string。

但这不起作用的原因是因为mysqli_real_escape_string 在您像您一样在程序上调用它时需要两个参数（与已弃用的mysql_real_escape_string()) 不同；

$ucom0= mysqli_real_escape_string($link, $_POST['com0']);

其中$link 是连接数据库时返回的变量：

$link = mysqli_connect("databasehost", "username", "password", "database");

如果您使用基于对象的 mysqli 进行连接，情况会有所不同：

$mysqli = new mysqli("databasehost", "username", "password", "database");
$ucom0 = $mysqli->real_escape_string($_POST['com0']);