postgresql 有 PHP mysql_real_escape_string吗?如果是,那么如何?请举个例子?以及这个字符串的工作
请参阅 http://www.php.net/manual/en/function.pg-escape-string.php 的pg_escape_string。
或者,
您可以使用预准备语句(pg_prepare)和占位符($1,$2等),然后以pg_execute给出查询的参数。这将是我的首选方式,因为从长远来看,它不仅更干净,而且更安全,因为如果您总是在预准备语句中使用占位符,则没有机会进行 SQL 注入。
使用 pg_query_params():
<?php
$result = pg_query_params(
$dbconn, // database connection
'SELECT * FROM foo WHERE bar = $1 AND baz = $2', // query using placeholders
array('value 1','value 2') // all values for the placeholders in a single array
);
?>
节省并且非常容易使用。
您既有可用的pg_escape_string,也有可用的pg_escape_bytea。