आप addslashes
. का उपयोग नहीं करते हैं आप उपयुक्त DB विशिष्ट एस्केपिंग फ़ंक्शन का उपयोग करते हैं जैसे mysql_real_escape_string
।
यदि आप पीडीओ का उपयोग कर रहे हैं तो एक तैयार कथन का उपयोग बाध्यकारी प्रक्रिया के हिस्से के रूप में चर से बच जाएगा। इस मामले में आपको बस इतना करना है:
$pdo = new PDO($dsn, $user, $name);
$stmt = $pdo->prepare('INSERT INTO your_table (col1, col2,col3) VALUES (?, ?, ?)');
$stmt->execute(array('value 1', 'value 2', 'value 3');
या अतिरिक्त पठनीयता और आसान पुन:उपयोग के लिए आप नामित पैराम्स का उपयोग कर सकते हैं:
$pdo = new PDO($dsn, $user, $name);
$stmt = $pdo->prepare('INSERT INTO your_table (col1, col2,col3) VALUES (:col1, :col2, :col3)');
$stmt->execute(array(':col1' =>'value 1', ':col2' =>'value 2', ':col3' =>'value 3');