插入MySQL时,在PHP中转义单引号


Escaping single quote in PHP when inserting into MySQL

本问题已经有最佳答案,请猛点这里访问。

我有一个令人费解的问题,我似乎无法理解…我希望这里的人能给我指明正确的方向…

我有两个SQL语句:-第一个将表单中的信息输入数据库。-第二个从上面输入的数据库中获取数据,发送电子邮件,然后记录事务的详细信息。

问题是,似乎只有一个引号在第二个条目上触发了MySQL错误!!!!第一个实例毫无问题地工作,但第二个实例触发了mysql_error()

表单中的数据处理方式是否与表单中捕获的数据不同?

查询1-此操作无问题(也不转义单引号)

1
2
3
4
$result = mysql_query("INSERT INTO job_log
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id)
VALUES
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', '$booking_name', '$address', '$suburb', '$postcode', '$state_id', '$region_id', '$email', '$phone', '$phone2', '$mobile', STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', '$special_instructions', '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')");

查询2-当输入带单引号的名称(即O'Brien)时,此操作失败。

1
2
3
4
$query = mysql_query("INSERT INTO message_log
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', '$row->supplier_id', '$row->primary_email' ,'$row->secondary_email', '$subject', '$message_content', '1')");

您应该使用mysql_real_escape_string()转义这些字符串中的每一个(在这两个片段中)。

http://us3.php.net/mysql-real-escape-string

您的两个查询行为不同的原因可能是您打开了magic_quotes_gpc(您应该知道这是一个坏主意)。这意味着从$GET、$U POST和$U cookies收集的字符串将为您转义(即,"O'Brien" ->"O\'Brien")。

一旦您存储了数据,然后再次检索它,从数据库返回的字符串将不会自动为您转义。你会回来的。所以,你需要通过mysql_real_escape_string()

相关讨论

对于任何在2015年找到这个解决方案并继续前进的人…

从php 5.5.0开始,不推荐使用mysql_real_escape_string()函数。

参见:PHP.NET

警告

该扩展自php 5.5.0起已被弃用,将来将被删除。相反,应该使用mysqli或pdo-mysql扩展。另请参见MySQL:选择API指南和相关常见问题解答以了解更多信息。此功能的替代方案包括:

mysqli_real_escape_string()

PDO::quote()

相关讨论

您可以执行以下操作,这将同时避开php和mysql。

1
2
3
<?
$text = '';
?>

这将反映mysql为

1
 

它是如何工作的?

我们知道php和mysql的撇号都可以用反斜杠转义,然后用撇号转义。

1
\'

因为我们使用php来插入mysql,所以我们需要php仍然将反斜杠写到mysql中,这样它也可以逃脱它。所以我们使用反斜杠反斜杠的php转义字符和反斜杠撇号来实现这一点。

1
\\'

你有两件事要处理。

  • 缺乏正确的mysql引用(mysql_real_escape_string())
  • 潜在的自动"magic quote"--检查您的gpc_magic_quotes设置
  • 嵌入式字符串变量,这意味着您必须知道php如何正确地查找变量

也可能第一个查询的参数中不存在单引号。毕竟,您的示例是一个正确的名称,只有第二个查询似乎在处理名称。

您应该这样做以帮助调试

1
2
$sql ="insert into blah blah....";
echo $sql;

您可能会发现单引号在工作查询中是用反斜杠转义的。这可能是由php通过magic_quotes_gpc设置自动完成的,也可能是您自己在代码的其他部分完成的(addslashes和stripslashes可能是要查找的函数)。

见http://php.net/manual/en/security.magicQuotes.php

您应该只传递"mysql-real-escape-string(trim($val))"中的变量或数据。

其中$val=困扰您的数据。

mysql_real_escape_string()或str_replace()函数将帮助您解决问题。

http://phpturial.co.in/php-echo-print/

我也有同样的问题,我是这样解决的:

1
$text=str_replace("'","\'",$YourContent);

也许有更好的方法可以做到这一点,但这对我很有用,而且对你也很有用。

相关讨论