[英]htmlspecialchars wrong use?
大家好,看了看php文档并在Google周围搜索,但并不高兴。 这是我的代码段,htmlspecialchars似乎不起作用,使用错误吗?
$query="SELECT * FROM likes";
$result=mysql_query($query);
$num=mysql_numrows($result);
$liked=htmlspecialchars($liked, ENT_QUOTES);
$liked=$_POST['liked'];
$query = "INSERT INTO likes VALUES ('','$name','$liked')";
谢谢你们,詹姆斯
您将在紧随其后的行中使用$_POST['liked']
覆盖它。 切换两条线。 或者,只需将POST var直接传递给函数:
$liked=htmlspecialchars($_POST['liked'], ENT_QUOTES);
无论如何,您都应该使用mysql_real_escape_string()
来转义SQL查询参数。 保存HTML转义仅在您要显示数据时使用。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.