Da meine Aussagen wiePrevent Injektion SQL mit PHP
sind"SELECT * FROM `box` WHERE `thing` = '{$variable}'
Könnte ich reinigen, dass mit einfach
$variable = str_replace("'","\'",$variable);
"SELECT * FROM `box` WHERE `thing` = '{$variable}'
würde das funktionieren? Mein Host unterstützt mysql escape nicht und ich verwende nicht mysqli.
Gibt es einen bestimmten Grund, warum Sie nicht mysqli verwenden? – GolezTrol
Ist das ok \t statische Funktion sauber (& $ x) \t { \t \t $ x = str_replace ('\' '' '‘, htmlspecialchars ($ x)); \t \t zurückgeben $ x; \t} – Macmee
Go PDO - http://Stackoverflow.com/questions/13569/mysqli-or-pdo-what-are-the-pros-and-cons - http://stackoverflow.com/questions/770782/moving -from-mysql-zu-mysqli-or-pdo –