PDO 准备语句来存储 html 内容

Question

我正在寻找一种在准备好的语句中处理 HTML 内容的方法。

我的应用程序提供了一个基本的 WYSIWYG 编辑器，在用户保存内容后，我的脚本将 HTML 数据存储在 sqlite 数据库中。

但如果我使用的是准备好的语句，我的 HTML 会自然地转义。

这是我到目前为止所做的：

try {

    /* Create databases and open connections */
    $dbh = new PDO( 'sqlite:db/coaching.sqlite' );

    /* Set Error Mode for Exception Handling */
    $dbh->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

    /* Prepare SQL Statement */
    $query = $dbh->prepare( "UPDATE Content SET Value=:value WHERE Token=:token" );

    /* Bind Param to Statement */
    $query->bindParam( ':token', $_POST['id'], PDO::PARAM_STR);
    $query->bindParam( ':value', $_POST['value'], PDO::PARAM_STR);

    /* Execute Query */
    $query->execute();

    /* Echo Data */
    echo $_POST['value'];

    /* Close connections to Database */
    $dbh = NULL;

}
catch( PDOException $e ) {

    /* Print Error-Messages */
    echo $e->getMessage();
}

Answer 1

准备好的语句不会转义变量。命令和变量同时但独立地传输到数据库。如果您看到您的数据在数据库中转义，还有另一个原因。例如。 magic_quotes 已打开。您可以在脚本中回显get_magic_quotes_gpc 以查看它们是打开还是关闭？如果它们打开，您可以使用different techniques 将它们设置为关闭。这样就可以解决问题了。

此外，在您发表评论之后，准备好的语句会执行prevent SQL injection attacks，因此您不必担心转义变量。可能难以理解的是准备好的语句的工作方式。假设您有一个查询：

$query = "SELECT `id` FROM `users` WHERE `login` = '" . $login . "' AND `password` = '" . $password ."'";

$login 和 $password 按原样直接传递给查询。如果有人尝试将mylogin' -- 传递给$login，则查询变为：

$query = "SELECT `id` FROM `users` WHERE `login` = 'mylogin' -- ' AND `password` = 'anypassword'";

并被发送到数据库。这样，攻击者就可以访问任何帐户。

prepared statements 的作用是独立于查询传输查询参数。查询不是在将变量传输到数据库之前构建的。相反，变量以某种方式在查询旁边传输。它们在查询中被引用。这样查询就不会被有意或无意地欺骗。

使用prepared statement，示例$login将按原样传输，不会影响查询结构。

如果可以通过飞机运送乘客，而乘客实际上并未登机，那将被称为“准备飞行”:) 乘客将无法影响路线并劫持飞机。他们会在飞机降落时出现在目标机场。

Answer 2

您是否尝试过存储已编码的数据？

http://php.net/base64_encode

或http://php.net/serialize

如果在使用数据库之前/之后使用应该可以工作