PHP MySQL查询在某些情况下失败了吗?

时间:2016-07-20 21:11:27

标签: php mysql mysqli php-mysqlidb

我有一个PHP脚本,它接收将客户端输入数据库的post请求,它大部分时间都可以工作但在某些情况下,如果客户端的名字中有特殊字符,它会失败,是什么让我更加奇怪的是,如果我尝试在PHPMyAdmin中手动运行查询它工作正常,我正在使用的PHP代码在这里:

$mysql = new mysqli("***", "****", "****", "****");
mysqli_set_charset($mysql,"utf8mb4");

if (isset($_POST["name"])) {
$name = $mysql->real_escape_string($_POST["name"]);
} else {
mysqli_close($mysql);
die("Name not set");
}

$query = sprintf ("INSERT INTO `que` (`name`, `ip`, `steamid`, `serverip`) VALUES ('%s', '%s', '%s', '%s')", $name, $clientip, $steamid, $serverip.":".$serverport);

if(!$mysql->query($query)) {
    mysqli_close($mysql);
    die("Query Failure: " . $query);
}

如前所述,上面的代码在90%的时间内都有效,但在某些情况下(我相信由名称中的特殊字符引起)它会失败。

以下是一些失败案例:

INSERT INTO `que` (`name`, `ip`, `steamid`, `serverip`) VALUES ('Shrimp%20ᴳᵀ%20ƒ„%20s%20%20t', '****', 'STEAM_1:0:16045698', '178.32.48.195:27015')
INSERT INTO `que` (`name`, `ip`, `steamid`, `serverip`) VALUES ('★★%20—%20noichia%20—%20…★', '****', 'STEAM_1:0:103227484', '178.32.48.195:27015')
INSERT INTO `que` (`name`, `ip`, `steamid`, `serverip`) VALUES ('•%20rie%20Low%20¼rke%20¢%20Ù„', '*****', 'STEAM_1:1:60346821', '178.32.48.195:27015')

所有帖子输入都使用以下内容进行消毒(不管有人可以发布不好的内容,因为只有我的服务器能够发布):

$mysql->real_escape_string

我做错了吗?

非常感谢任何帮助!

编辑:在使用以下内容向PHP发送请求之前,我还进行了URL编码:

stock void URLEncode(char[] str, int len)
{
char[] str2 = new char[len * 3 + 1];
Format(str2, len * 3 + 1, "%s", str);

char ReplaceThis[20][] =  { "%", " ", "!", "*", "'", "(", ")", ";", ":", "@", "&", "=", "+", "$", ",", "/", "?", "#", "[", "]" };
char ReplaceWith[20][] =  { "%25", "%20", "%21", "%2A", "%27", "%28", "%29", "%3B", "%3A", "%40", "%26", "%3D", "%2B", "%24", "%2C", "%2F", "%3F", "%23", "%5B", "%5D" };

for (int x = 0; x < 20; x++) {
    ReplaceString(str2, len, ReplaceThis[x], ReplaceWith[x]);
}

if (strlen(str2) > len * 3) {
    LogError("statistics encode url exceeded length (%d): %s", len * 3, str2);
}

Format(str, len, "%s", str2);

if (strlen(str) > len - 1) {
    LogError("statistics encode url exceeded length (%d): %s", len, str);
}
}

1 个答案:

答案 0 :(得分:1)

正如其他人在评论中指出的那样,如果您使用预准备语句,这会容易得多。如果你需要为每个视图插入多个记录,它也可以更快。

以下是您的代码的更改方式。

$mysql = new mysqli("***", "****", "****", "****");
mysqli_set_charset($mysql,"utf8mb4");

if (isset($_POST["name"])) {

    $query = $mysql->prepare("INSERT INTO `que` (`name`, `ip`, `steamid`, `serverip`) VALUES (?, ?, ?, ?)")
    $query->bind_param("ssss", $name, $clientip, $steamid, $serverip.":".$serverport);

    if($query->execute()) {
        print 'ok';
    }

} else {

   print 'Sorry required data not found';
}

还值得一提的是,您不需要明确关闭连接。

相关问题
最新问题