iam, используя этот код ниже, но символ «&» не будет вставлен в db, также когда я копирую/вставляю какой-либо текст с других страниц и помещаю его в db текст заканчивается, например, в середине текста, не знаю, почему, я попробовал также addslashes() и htmlspecialchars() или htmlentities().Запись данных в mysql с помощью mysqli_real_escape_string(), но без &
i read mysqli_real_escape_string() - это снова атаки SQL-инъекций и htmlspecialchars() против прикреплений XSS, должен ли я также их комбинировать?
$beschreibung = mysqli_real_escape_string($db, $_POST['beschreibung']);
"не вставлено" КАК? вы получаете сообщение об ошибке, если оно присутствует? это станет другим символом? и нет, escape_string недостаточно для предотвращения всех форм sql-инъекции, а htmlspecialchars абсолютно НИЧЕГО не относится к sql –
, вы не хотите, чтобы «&» хранилось в db, или вы хотите знать, как защитить свой скрипт от SQL-инъекции или xss – mohade
@MarcB Я предполагаю, что строка запроса прекращается до ожидаемого. Тем не менее, когда появляется символ '&', он не обрабатывается как строка, а команда для 'и ' –