0
こんにちはみんな、 は、PHPのドキュメントを見て周りにグーグル、しかし喜びはありません。これは私のコードスニペットですが、htmlspecialcharsはうまくいきません。htmlspecialcharsが間違って使用されていますか?
$query="SELECT * FROM likes";
$result=mysql_query($query);
$num=mysql_numrows($result);
$liked=htmlspecialchars($liked, ENT_QUOTES);
$liked=$_POST['liked'];
$query = "INSERT INTO likes VALUES ('','$name','$liked')";
おかげでみんな、 ジェームズ
BoltClockさん、ありがとうございました! :)あなたが気にしないなら、mysql注射をエスケープするために何を追加すればよいですか? (PHPとMySQLで本当に新しい)!ありがとうございました – DexCurl
またはSQLインジェクション攻撃からあなたを守る、パラメータ化されたクエリを使用してください。 – cdhowie
@James Whelton: 'mysql_real_escape_string()'関数を渡して各値をエスケープする(mysql_real_escape_string()は、接続にいくつかの文字セットを使用すると脆弱です。 。 SQLクエリを作成する前にこれを行います。 – BoltClock