我的PHP脚本有一个奇怪的字符串转义问题。我正在尝试从iSnare获取数据并将它们放入MySQL表中。
我正在使用mysql_real_espace_string()函数读取POST数据和转义字符串,我也可以将相同的数据插入到.txt文件中,但是当我尝试将数据插入表时,它会从撇号(')中删除字符串(或者有时候是其他的话题)
如果有帮助,我的表和字段是UTF8和utf8_general_ci ..
include("database.php");
function security_sql($x){
return mysql_real_escape_string(trim(stripslashes($x)));
}
$title = security_sql($_POST["article_title"]);
$first_name = security_sql($_POST["article_author"]);
$description = security_sql($_POST["article_summary"]);
$category = security_sql($_POST["article_category"]);
$article = security_sql($_POST["article_body_text"]);
$article_html = security_sql($_POST["article_body_html"]);
$resource_box = security_sql($_POST["article_bio_text"]);
$resource_box_html = security_sql($_POST["article_bio_html"]);
$keywords = security_sql($_POST["article_keywords"]);
$email = security_sql($_POST["article_email"]);
// Writes fine to text file
$fp = fopen('test.txt', 'a');
fwrite($fp, $title."\n");
fwrite($fp, $article."\n\n\n\n");
fclose($fp);
// BUT DOESNT WORK FINE WITH MYSQL
mysql_query("INSERT INTO articles (first_name, email, title, description, article, article_html, category, resource_box, resource_box_html, keywords, distributor, distributor_host) values (
'".$first_name."',
'".$email."',
'".$title."',
'".$description."',
'".$article."',
'".$article_html."',
'".$category."',
'".$resource_box."',
'".$resource_box_html."',
'".$keywords."',
'isnare',
'".$_SERVER['REMOTE_ADDR']."'
)") or die(mysql_error());
答案 0 :(得分:0)
我建议使用带有ENT_QUOTES标志的htmlentities作为您自己的消毒功能的一部分。
function clean($string) {
$ret = str_replace('=','=',$string);
$ret = htmlentities($ret,ENT_QUOTES);
return $ret;
}
上面是我用于将内容输出到存储在关系数据库中的Web浏览器的非常简单的清理功能。它可能并不完美,但对我来说效果很好。 (注意,=必须替换以防止注入涉及整数的查询)