首页

插入 MySQL 时在 PHP 中转义单引号

php insert escaping mysql
2022-08-30 06:17:33

我有一个令人困惑的问题,我似乎无法理解...

我有两个SQL语句:

  • 第一个将表单中的信息输入数据库。
  • 第二个从上面输入的数据库中获取数据,发送电子邮件,然后记录事务的详细信息

问题是,似乎单个引号仅在第二个条目上触发MySQL错误!第一个实例工作正常,但第二个实例触发 .mysql_error()

表单中数据的处理方式是否与表单中捕获的数据不同?

查询 1 - 这没有问题(并且不转义单引号)

$result = mysql_query("INSERT INTO job_log
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id)
VALUES
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', '$booking_name', '$address', '$suburb', '$postcode', '$state_id', '$region_id', '$email', '$phone', '$phone2', '$mobile', STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', '$special_instructions', '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')");

查询 2 - 输入带有单引号的名称(例如,O'Brien)时,此操作失败)

$query = mysql_query("INSERT INTO message_log
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', '$row->supplier_id', '$row->primary_email' ,'$row->secondary_email', '$subject', '$message_content', '1')");

答案 1

您应该使用 转义这些字符串中的每一个(在两个代码段中)。mysql_real_escape_string()

http://us3.php.net/mysql-real-escape-string

您的两个查询行为不同的原因可能是因为您已打开(您应该知道这是一个坏主意)。这意味着从 $_GET、$_POST 和 $_COOKIES 收集的字符串将为您转义(即 )。magic_quotes_gpc"O'Brien" -> "O\'Brien"

存储数据并随后再次检索数据后,从数据库返回的字符串将不会自动为您转义。你会回来的。因此,您将需要通过 它 。"O'Brien"mysql_real_escape_string()


答案 2

对于任何在2015年找到此解决方案并继续前进的人...

该函数从 PHP 5.5.0 开始不推荐使用。mysql_real_escape_string()

请参见: php.net

警告

此扩展从 PHP 5.5.0 开始被弃用,将来将被删除。相反,应使用 MySQLi 或 PDO_MySQL 扩展。有关更多信息,另请参阅MySQL:选择API指南和相关常见问题解答。此功能的替代方法包括:

mysqli_real_escape_string()

PDO::quote()


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »