本文转载地址:http://hi.baidu.com/cuttinger/blog/item/e9a93901934755147bec2cb0.html
1。老话题,mysql_real_escape_string+单引号,大多数情况下,防止sql注入攻击足够了。
$mysql = mysql_connect("host","user","passwort");
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
2。但是我的数据库是gbk的,我需要使用gbk去连接数据库,我使用set names gbk来告诉服务器我要如何使用编码。
$mysql = mysql_connect("host","user","passwort");
$sql = "set names gbk";
mysql_query($sql,$mysql);
$value = mysql_real_escape_string($value,$mysql);
$sql = "select * from table where col = '$value' ";
mysql_query($sql,$mysql);
3。但是中途使用"set names gbk" 修改了字符集,mysql_real_escape_string函数不会相应的