NOAD
[[PHPめも]]

データベースに登録する文字列が、ユーザーが入力するような予測できない場合はエスケープしておく必要があります。

PHP5.4.4以上~
前後に「'」が付けなくて良いのがスマート

 $sql = 'INSERT INTO table (column) VALUES('.pg_escape_literal($string).')';
 $sql = "INSERT INTO table (column) VALUES(".pg_escape_literal($string).")";

PHP4.2.0以上~
前後に「'」を付ける必要がある。

 $sql = 'INSERT INTO table (column) VALUES('."'".pg_escape_string($string)."')";
 $sql = "INSERT INTO table (column) VALUES('".pg_escape_string($string)."')";

pg_escape_stringよりもpg_escape_literalの方が推奨されています。

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS