如何使用PHP将撇号从文本区域传递到MySQL

时间:2012-12-04 20:52:02

标签: php textarea apostrophe

我有一个用户添加备注的文本区域。在下一页中,我使用$_POST[Comments]来显示键入的内容。我有一个编辑按钮可以返回查看输入的内容并编辑注释,但是当我显示$_POST[Comments]时,它会显示撇号的所有内容。

示例:

最初输入:Let's try this.

编辑时:Let

现在,当我将它传递给服务器进行SQL添加时,我使用以下函数来防止SQL注入

function keepSafe($value) {
        if (get_magic_quotes_gpc()) {
            $value = stripslashes($value);
        }
        if (!is_numeric($value)) {
            $value = "'" . mysqli_real_escape_string($value) . "'";
        }
        return $value;
    }

以下是我用来格式化SQL插入输入的内容。

$Comments = str_replace("\n","<br />",$_POST['CustComments']);
    $Comments = keepSafe($_POST['Comments']);

我需要能够在提交前编辑时在注释部分查看所有撇号。我想确保当我提交它时,SQL注入会阻止安全代码。

2 个答案:

答案 0 :(得分:5)

撇号的问题:

你可能会使用这样的输入:

<input type='text' value='<?php echo $value;?>'/>

问题是,如果值有撇号,则会发生这种情况:

<input type='text' value='Let's play'/>

因此变量中的撇号会终止值标记。

要修复它,只需使用带有ENT_QUOTES的htmlspecialchars:

<?php 
 $value = htmlspecialchars("Let's play", ENT_QUOTES);
?>
<input type='text' value='<?php echo $value; ?>'/>

这样撇号就会被编码,并且可以在你的表格中编辑

关于SQL注入:

只需使用mysqli's prepared statements就可以了。为了使您远离XSS,始终在HTML输出中htmlspecialchars用户输入。更好的方法是仅将输入过滤到您需要的内容,并仅将过滤后的输入保存到数据库中。

答案 1 :(得分:-1)

创建textarea标签时使用htmlspecialchars()功能:

<textarea><?=htmlspecialchars($_POST['Comments'])?></textarea>
相关问题
最新问题