wrong特殊字符用错了吗？

Question

嘿，伙计们，看了php文档，到处搜了搜，还是没有找到joy。这是我的代码片段，htmlspecialchars似乎不起作用，用错了吗？

$query="SELECT * FROM likes";
$result=mysql_query($query);

$num=mysql_numrows($result);
$liked=htmlspecialchars($liked, ENT_QUOTES);
$liked=$_POST['liked'];

$query = "INSERT INTO likes VALUES ('','$name','$liked')";

谢谢你们，詹姆斯

Answer 1

您将在紧随其后的行中使用$_POST['liked']覆盖它。把这两行换一下。或者，直接将POST var传递给函数：

$liked=htmlspecialchars($_POST['liked'], ENT_QUOTES);

无论如何，您应该使用mysql_real_escape_string()来转义您的SQL查询参数。仅在要显示数据时保存HTML转义。