转义字符串

Question

我正在使用 PDO，并且印象中要准备转义撇号，但我发现事实并非如此。我用什么来转义撇号字符串？

---

$sql = 'SELECT test FROM test WHERE id = :id';
$sth = $dbh->prepare($sql);
$sth->execute(array(':id' => 1));
$red = $sth->fetchAll();

Answer 1

我怀疑虽然您可能使用准备好的语句，但您没有绑定参数。例如，

$val = "Some string with an a'postrophe in it";
$stmt = $pdo->prepare("UPDATE table SET col = '$val'");
$stmt->execute();

您应该使用

$val = "Some string with an a'postrophe in it";
$stmt = $pdo->prepare('UPDATE table SET col = :val');
$stmt->bindParam('val', $val);
$stmt->execute();

或者 至少

$val = "Some string with an a'postrophe in it";
$stmt = $pdo->prepare('UPDATE table SET col = :val');
$stmt->execute(array('val' => $val));

这是使用命名参数，但您也可以使用 ? 作为占位符来使用位置参数

Answer 2

我不确定我是否理解你的问题，但这可能有助于 PDO 转义：

PDO::quote($data)

Answer 3

我怀疑您没有正确使用准备好的语句，或者您的代码有问题。

文档 特别指出：

准备语句的参数
不需要被引用；司机
自动处理这个。如果一个
应用程序专门使用准备好的
声明，开发商可以确定
不会发生SQL注入
（但是，如果其他部分
正在建立查询
未转义的输入，SQL注入是
还是有可能的）。