将字符串插入 MySQL

Question

我遇到了一个问题，我认为我在 MySQL 中的插入语句弄乱了输入数据库的字符串。

我在 PHP 代码中有这样的插入语句：

$sql = 'insert into my_table ( numeric_id , string_value ) 
        values ( '.$some_number.' , "'.$some_text.'" )';

当后来我从数据库中获取$some_text 时，它会弄乱字符串，例如 don\'t 而不是不要，并在输出中添加 \r\n 之类的内容。

知道为什么会发生这种情况以及我应该改变什么吗？

Answer 1

$sql = "插入 my_table (numeric_id, string_value) 值 ('$some_number' , '$some_text')"; $query = mysql_query($sql);

/** 只需使用 (") 而不是 ('); */

Answer 2

始终使用prepared statements 将数据插入 SQL。那么你根本不需要做任何转义。

Answer 3

您的某些代码进行了两次转义。
您只需要找到第二次执行此操作的代码并将其删除即可。

首先你必须打印出你的变量来查看它的实际内容。
很难根据假设来解决被蒙蔽的事情。

在转义之前打印出$some_text 变量并查看。如果它已经被转义了 - 那么在代码前面的某个地方进行了额外的转义。

Answer 4

这应该可以工作

$sql = "插入 my_table ( numeric_id , string_value ) 值 ( '.$some_number.' , '".$some_text."' )";

Answer 5

首先，转义你的输入：

$sql = 'insert into my_table ( numeric_id , string_value ) values (' . mysql_real_escape_string($some_number) . ', "' . mysql_real_escape_string($some_text) . '")';

其次，斜线的问题可能是由于 PHP 魔术引号引起的。你可以在这里阅读更多信息：http://www.php.net/manual/en/security.magicquotes.disabling.php

您可以通过运行以下命令检查魔术引号是否打开：

var_dump(get_magic_quotes_gpc());

如果它打开，您可以禁用它（如果您可以访问 php.ini），或者您可以使用 PHP 代码来解决魔术引号造成的问题：

if (get_magic_quotes_gpc()) {
    function stripslashes_gpc(&$value) {
        $value = stripslashes($value);
    }
    array_walk_recursive($_GET, 'stripslashes_gpc');
    array_walk_recursive($_POST, 'stripslashes_gpc');
    array_walk_recursive($_COOKIE, 'stripslashes_gpc');
    array_walk_recursive($_REQUEST, 'stripslashes_gpc');
}

（取自 PHP.net）