PHPめも

データベースに登録する文字列が、ユーザーが入力するような予測できない場合はエスケープしておく必要があります。

PHP5.4.4以上
前後に「'」が付けなくて良いのがスマート

$sql = "INSERT INTO table (column) VALUES(".pg_escape_literal($string).")";

PHP4.2.0以上
前後に「'」を付ける必要がある。

$sql = "INSERT INTO table (column) VALUES('".pg_escape_string($string)."')";

pg_escape_stringよりもpg_escape_literalの方が推奨されています。


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2016-05-27 (金) 09:46:56 (1116d)