如果从客户端接收的数据中含有特殊字符,如 ', ; , \ 等特殊字符,则用 ejabberd_odbc:escape(Name),方法进行转义,
如果 Name = "姓名'",
使用ejabberd_odbc:escape(Name)转义过后,
SName = ejabberd_odbc:escape(Name),
SName的值为 "姓名\\'"
这时候再将SName插入数据库就不会报错了.这样也可以防止SQL注入.
如果从客户端接收的数据中含有特殊字符,如 ', ; , \ 等特殊字符,则用 ejabberd_odbc:escape(Name),方法进行转义,
如果 Name = "姓名'",
使用ejabberd_odbc:escape(Name)转义过后,
SName = ejabberd_odbc:escape(Name),
SName的值为 "姓名\\'"
这时候再将SName插入数据库就不会报错了.这样也可以防止SQL注入.