Правильный способ экранирования входных данных перед передачей в ODBC

Question

Я очень привык использовать MySQL и mysql_real_escape_string (), но мне дали новый проект PHP, использующий ODBC.

Как правильно избежать пользовательского ввода в строке SQL?

Достаточно ли addlashes ()?

Я бы хотел получить это прямо сейчас, а не позже!

Answer 1

Вместо экранирования строки драйвер PHP ODBC использует подготовленные операторы. Используйте odbc_prepare для подготовки оператора SQL и odbc_execute для передачи параметров и выполнения операторов. (Это похоже на то, что вы можете сделать с PDO).