Я использую функцию ниже, чтобы избежать моей строки, прежде чем она будет вставлена в БД. Хотя он фактически вставляет двойной апостроф в базу данных, и когда я его распечатываю, он все равно имеет двойной апостроф. Как правильно распечатать значение с оригинальным апострофом?
function mssql_escape($var){
if(get_magic_quotes_gpc()){
$var = stripslashes($var);
}
return str_replace("'", "''", $var);
}
Поскольку вы используете параметризованный оператор, нет необходимости удваивать одинарные кавычки. Это правильный способ выполнения действий, и в целом он защищен от атак SQL-инъекций.
Других решений пока нет …