当前位置：文江博客话题详情

PHP MySQL 输入 HTML 标签

发布于 2024-09-15 18:06:25 字数 427 浏览 6 评论 0原文

我有一个 PHP MySQL 数据库，我将在其中存储所有信息。我在 HTML 页面上有一个文本字段，用户可以向其中添加数据，然后在提交 MySQL 查询时将此信息插入数据库中。相当标准的东西。

然而，我现在可以将 TinyMCE 或 FCKEditor 附加到我的文本字段（现在是文本区域）。我的问题是：考虑到标签会影响MySQL查询，并且剥离任何标签都会影响所述信息在另一个页面上的显示，我现在如何将此信息存入数据库？

我知道 strip_tags 和类似的 PHP 功能，但我的问题不在于 PHP，而在于 MySQL 的数据库输入，任何 " 或 ' 或 ; 都会破坏查询并在输入删除任何标签之前删除这些标签用户所做的格式增强。

我还假设，如果我使用 mysql_real_escape_string，我需要在显示数据之前删除斜杠 - 这也会将所有斜杠从结束标记中删除： ,
等等

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

生生漫 2024-09-22 18:06:25

在将值插入 SQL 语句之前，您需要转义该值。如果您使用 mysql 扩展，则可以使用 mysql_real_escape_string 来执行此操作：

$text = mysql_real_escape_string($_POST['text']);

它会转义引号等字符，因此您可以安全地将值插入数据库中。

You need to escape the value before you insert it in your SQL statement. If you use the mysql extension, you use the mysql_real_escape_string to do this:

$text = mysql_real_escape_string($_POST['text']);

It escapes characters such as quotation marks, so you can safely insert the value in database.

回复收藏 0 原文

黑寡妇 2024-09-22 18:06:25

看看这个：

http://php.net/manual/ en/function.mysql-real-escape-string.php

// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));

Look at this:

http://php.net/manual/en/function.mysql-real-escape-string.php

// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));

回复收藏 0 原文

~没有更多了~