为 MySQL 插入转义带有撇号的值答案

【问题标题】：Escaping values with apostrophes for MySQL insert为 MySQL 插入转义带有撇号的值
【发布时间】：2010-11-30 04:41:15
【问题描述】：

我正在尝试创建一些 SQL 插入语句，并且一些变量的名称如下：

在将值添加到 MySQL 数据库时，我想转义引号 (')。如何用 PHP 做到这一点？

【问题讨论】：

取决于您的编码语言，但一般来说 mysql_real_escape_string 应该可以解决问题。 dev.mysql.com/doc/refman/5.0/en/mysql-real-escape-string.html
@Rufinus 抱歉忘了提到我正在使用 PHP
在这种情况下，astander 给出了正确的答案。
remember to use google。 ;-)
李：我搜索过。我有addlahes 和mysql_real_escape_string。所以只有我问哪个是最好的方法。

【解决方案1】：

您已经接受了答案，但我想向您推荐一个更好的方法。使用 mysql_real_escape_string 之类的方法需要您始终记住在每个查询中每次都应用它；这很乏味且容易出错。

一种更简单的方法是使用parameterised statements，也可以确保一致性。这可以确保所有内容都被正确转义，并且还避免了您必须在查询中嵌入变量。

在 PHP 中，这可以与较新的 PDO 或 MySQLi 库一起使用。其中，我更喜欢 PDO，因为它提供了灵活性（例如，我目前坚持使用 MySQL，但我不打算让我的应用程序永远以这种方式运行，并且使用 PDO 迁移将大大简化），但是有这里有很多关于 SO 的问题，涵盖了每个问题的优缺点。

【讨论】：

【解决方案2】：

看看mysql_real_escape_string

【讨论】：

【解决方案3】：

请使用准备语句，让 mysql 自行处理转义，而您在代码级别进行操作

【讨论】：

【解决方案4】：

你可以使用这个函数来转义你需要的所有字符，这是 php 中的代码示例

<?php
$str = "Is your name O'reilly?";

// Outputs: Is your name O\'reilly?
echo addslashes($str);
?>

【讨论】：