Sie müssen das Dollarzeichen nicht entkommen. MySQL behandelt dieses Zeichen nicht besonders, und PHP erkennt es nur im Quellcode, nicht in Zeichenfolgenwerten (es sei denn, Sie rufen eval
auf an der Schnur, aber das ist ein ganz anderer Wurm).
Sie müssten nur %
maskieren und _
wenn Sie Benutzereingaben als Argument für LIKE
verwendet haben und Sie wollten nicht, dass der Benutzer Platzhalter verwenden kann. Dies könnte auftreten, wenn Sie ein Suchformular bearbeiten. Sie müssen es nicht verwenden, wenn Sie es in der Datenbank speichern.
Sie müssen htmlspecialchars
nicht verwenden beim Zugriff auf die Datenbank. Dies sollte nur verwendet werden, wenn Sie dem Benutzer Daten auf einer HTML-Seite anzeigen, um eine XSS-Einschleusung zu verhindern.