插入MySQL时,在PHP中转义单引号

时间:2010-04-22 02:25:33

标签: php mysql insert escaping

我有一个令人困惑的问题,我似乎无法理解......我希望有人能够指出我正确的方向......

我有两个SQL语句: - 第一个将表单中的信息输入数据库。 - 第二个从上面输入的数据库中获取数据,发送电子邮件,然后记录交易的详细信息

问题是,单个引号似乎只在第二个条目上触发MySQL错误!第一个实例没有问题,但第二个实例触发mysql_error()

表单中的数据是否与表单中捕获的数据处理不同?

查询#1 - 这没有问题(并且没有转义单引号)

$result = mysql_query("INSERT INTO job_log 
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id) 
VALUES 
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', '$booking_name', '$address', '$suburb', '$postcode', '$state_id', '$region_id', '$email', '$phone', '$phone2', '$mobile', STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', '$special_instructions', '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')");

查询#2 - 输入带单引号的名称(即O'Brien)

时失败 
$query = mysql_query("INSERT INTO message_log 
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status) 
VALUES 
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', '$row->supplier_id', '$row->primary_email' ,'$row->secondary_email', '$subject', '$message_content', '1')");

8 个答案:

答案 0 :(得分:123)

您应该使用mysql_real_escape_string()转义每个字符串(在两个代码段中)。

http://us3.php.net/mysql-real-escape-string

您的两个查询行为不同的原因可能是因为您已启用magic_quotes_gpc(您应该知道这是一个坏主意)。这意味着从$ _GET,$ _POST和$ _COOKIES收集的字符串将为您转义(即"O'Brien" -> "O\'Brien")。

存储数据并随后再次检索数据后,您从数据库中返回的字符串 not 将自动为您转义。你会回来"O'Brien"。因此,您需要将其传递给mysql_real_escape_string()

答案 1 :(得分:50)

对于任何在2015年找到此解决方案并继续前进的人......

自PHP 5.5.0起,mysql_real_escape_string()函数已弃用。

请参阅:php.net

警告

自PHP 5.5.0起,此扩展程序已弃用,将来将被删除。相反,应该使用MySQLi或PDO_MySQL扩展。另请参阅MySQL:选择API指南和相关的常见问题解答以获取更多信息。该功能的替代方案包括:

mysqli_real_escape_string()

PDO::quote()

答案 2 :(得分:14)

你应该做这样的事情来帮助你调试

$sql = "insert into blah blah....";
echo $sql;

您可能会发现单引号在工作查询中使用反斜杠进行转义。这可能是由php通过magic_quotes_gpc设置自动完成的,或者你可能是在代码的其他部分自己完成的(addslashes和stripslashes可能是要查找的函数)。

请参阅 http://php.net/manual/en/security.magicquotes.php

答案 3 :(得分:14)

你的角色里有几件事情在争吵。

  • 缺少正确的MySQL引用(mysql_real_escape_string()
  • 潜在的自动'魔术引用' - 检查你的gpc_magic_quotes设置
  • 嵌入式字符串变量,这意味着您必须知道PHP如何正确查找变量

单引号值也可能不存在于第一个查询的参数中。毕竟,你的例子是一个正确的名称,只有第二个查询似乎在处理名称。

答案 4 :(得分:14)

您可以执行以下操作,以逃避PHP和MySQL。

<?
$text = '<a href="javascript:window.open(\\\'http://www.google.com\\\');"></a>';
?>

这将反映MySQL为

<a href="javascript:window.open('http://www.google.com');"></a>

它是如何运作的?

我们知道PHP和MySQL撇号都可以使用反斜杠然后撇号进行转义。

\'

因为我们使用PHP插入MySQL,所以我们需要PHP仍然将反斜杠写入MySQL,因此它也可以逃脱它。 所以我们使用反斜杠反斜杠的PHP转义字符和反斜杠撇号来实现这一点。 

\\\'

答案 5 :(得分:10)

你应该在“mysql_real_escape_string(trim($ val))”中传递变量OR数据

其中$ val =困扰你的数据。

答案 6 :(得分:-1)

我遇到了同样的问题,我解决了这个问题:

$text=str_replace("'","\'",$YourContent);

可能有更好的方法可以做到这一点,但它对我有用,它也适合你。

答案 7 :(得分:-1)

mysql_real_escape_string()或str_replace()函数将帮助您解决问题。

http://phptutorial.co.in/php-echo-print/

相关问题
最新问题