清理查询,转义字符,查询mysqli_real_escape_string

时间:2017-02-15 07:05:09

标签: php mysql mysqli

我最近开始学习和练习PHP / MySQL并写了一个评论/注释系统。我无法清理输入,转义字符。

    <?php
include($_SERVER['DOCUMENT_ROOT'].'/includes/dbh.php');
$newNote = mysqli_real_escape_string($conn, $_POST['note']);

if (empty($newNote)){
        header("Location: /admin/notes.php?error=empty");
        exit();
} else {
        $dt = date('M d, Y ');
        $sql = "INSERT INTO notes (dt, note) VALUES ('$dt', '$newNote')";
        $result = mysqli_query($conn, $sql);
        header("Location: /admin/notes.php?success");
    }
?>

我想要清理$ result变量还是$ sql变量?在更改之前我已经正常工作了,我有点确定$ newNote变量仍在正常清理。我想确定一下。

$ sql只是设置阶段,没有做任何事情,当$ result运行时,查询发生时。所以我想在查询之前进行清理。

我应该研究PDO并放弃mysqli吗?

0 个答案:

没有答案
相关问题
最新问题