※ 引述《TonyQ (骨頭)》之銘言： : ※ 引述《razor (=_=)》之銘言： : : 在未告知的情況下,把'去掉是不對的; : 是的，不過一般而言， : 我會這麼處理的都是不應該會出現'這符號的欄位， : ex.帳號密碼..在撰寫的時候就要求它不能輸入'， : 雖然這些可以用JavaScript作頁面上的過慮， : 但是難防從網址上直接帶過來的參數闖關。 通常需要擔心這種東西的 大部分是帳號密碼之類的（當然其他的也不是不用顧慮啦） 簡單地說，這個時候用 POST 比較好 （絕大多數時候，POST 都比較好） 不過，這已經離開這個版的討論範圍了 : : 通常容許使用者在輸入文字中可帶有'符號. : : 為了避免'符號造成句子結構的破壞,會用到escape sequence, : 程式語言的部份這是我知道的 : 我想問的是單就SQL語法而言裡面有沒有特別處理的方式。 : 因為我試過 \' 在SQL好像不吃。@0@ 我記得標準 SQL 是用兩個 '' 來代表一個 ' 針對你的問題，我的做法是，在組 SQL 句子的時候 就先把外來變數（相對於 SQL 句子）全部 replace 掉 -- 侃侃長論鮮窒礙 網站：http://www.psmonkey.idv.tw 眾目睽睽無心顫 個人版：telnet://legend.twbbs.org 煢居少聊常人事 殺頭容易告白難 歡迎參觀 Java 版（@ptt.cc）精華區 \囧/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.32.98.90