※ 引述《TonyQ (骨头)》之铭言： : ※ 引述《razor (=_=)》之铭言： : : 在未告知的情况下,把'去掉是不对的; : 是的，不过一般而言， : 我会这麽处理的都是不应该会出现'这符号的栏位， : ex.帐号密码..在撰写的时候就要求它不能输入'， : 虽然这些可以用JavaScript作页面上的过虑， : 但是难防从网址上直接带过来的参数闯关。 通常需要担心这种东西的 大部分是帐号密码之类的（当然其他的也不是不用顾虑啦） 简单地说，这个时候用 POST 比较好 （绝大多数时候，POST 都比较好） 不过，这已经离开这个版的讨论范围了 : : 通常容许使用者在输入文字中可带有'符号. : : 为了避免'符号造成句子结构的破坏,会用到escape sequence, : 程式语言的部份这是我知道的 : 我想问的是单就SQL语法而言里面有没有特别处理的方式。 : 因为我试过 \' 在SQL好像不吃。@0@ 我记得标准 SQL 是用两个 '' 来代表一个 ' 针对你的问题，我的做法是，在组 SQL 句子的时候 就先把外来变数（相对於 SQL 句子）全部 replace 掉 -- 侃侃长论鲜窒碍 网站：http://www.psmonkey.idv.tw 众目睽睽无心颤 个人版：telnet://legend.twbbs.org 茕居少聊常人事 杀头容易告白难 欢迎参观 Java 版（@ptt.cc） \囧/ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.32.98.90