Mysql + php，带有特殊字符，例如'（撇号）和“（引号）

Mysql + php，带有特殊字符，例如'（撇号）和“（引号）

您的sql字符串将为：

INSERT INTO `table` (`row1`) VALUES ('google's site')

这不是有效的声明。正如Nanne所写，请至少使用mysql_real_escape_string对该字符串进行转义：http ://php.net/manual/en/function.mysql-real-escape-
string.php

并阅读有关sql注入的信息
http://en.wikipedia.org/wiki/SQL_injection

想一想：如果有人发布了这个：

$_POST['text']

值：

');delete from table;....

您可以对数据说再见:)

始终过滤/转义输入！

编辑：从PHP 5.5.0起，不推荐使用mysql_real_escape_string和mysql扩展名。 请改用mysqli扩展名和mysqli
:: escape_string函数