您的sql字符串将为:
INSERT INTO `table` (`row1`) VALUES ('google's site')这不是有效的声明。正如Nanne所写,请至少使用mysql_real_escape_string对该字符串进行转义:http ://php.net/manual/en/function.mysql-real-escape-
string.php
并阅读有关sql注入的信息
http://en.wikipedia.org/wiki/SQL_injection
想一想:如果有人发布了这个:
$_POST['text']值:
');delete from table;....
您可以对数据说再见:)
始终过滤/转义输入!
编辑:从PHP 5.5.0起,不推荐使用mysql_real_escape_string和mysql扩展名。 请改用mysqli扩展名和mysqli
:: escape_string函数
