Я пытаюсь избежать SQL-инъекции на моей странице.PDO не вставляет после цитаты
// Connect to database server and select database
$connection = new PDO("mysql:dbname=tt8888;host=mysql.tt8888.com", "tt8888", "ttnopassword");
// Quote data to prevent SQL injection
$name = $connection->quote($name);
// Insert now
$connection->query("INSERT INTO Contact (name, eeeee, llll, mmmmm, iiiii) VALUES ('$name','$eeeee','$llll','$mmmmm','$iiiii');");
Без quote()
, он вставляет только штраф. И используя print $name;
, quote()
часть кажется работа хорошо. Почему в базу данных ничего не добавлено после использования quote()
?
Вы используете PDO неправильно. Вы уязвимы для [SQL-инъекций] (http://bobby-tables.com). –
Вы должны использовать заполнители, а не строить SQL с ненадежными данными. –