在MySQL中,QUOTE()函數用于對字符串添加引號,防止SQL注入攻擊。它可以用于動態SQL語句中,以保證字符串的安全性。例如:
SET @name = 'John';
SET @sql = CONCAT('SELECT * FROM users WHERE name = ', QUOTE(@name));
PREPARE stmt FROM @sql;
EXECUTE stmt;
在上面的例子中,QUOTE()函數用于將變量@name的值加上引號,然后拼接到動態SQL語句中。這樣可以防止@name的值被當做SQL語句的一部分執行,從而避免SQL注入攻擊。
