通过php在mysql查询中转义单引号[重复]

Question

可能重复：
Mysql Real Escape String PHP Function Adding “\” to My Field Entry

所以这就是交易。我有一个本地服务器和一个远程服务器，它们都运行相同的 php 文件，该文件连接到 2 个相同的 mysql 数据库。在本地服务器上，命令

mysql_query("INSERT INTO eventtypes (name) VALUES ('".addslashes($_GET['name'])."')")

就像一个魅力，不插入斜线到字段中，只有 $_GET['name'] 的原始值。然而，在远程服务器上，斜线也被插入。我试过这些：

mysql_query("INSERT INTO eventtypes (name) VALUES ('".str_replace("'","''",$_GET['name'])."')

这个返回false，虽然当我在对应数据库的命令行上运行准确返回的字符串时，它正确地插入了适量的单引号，这很奇怪。

mysql_query("INSERT INTO eventtypes (name) VALUES ('".mysql_real_escape_string($_GET['name'])."')")

mysql_real_escape_string() 只在单引号中添加斜线，也像addslashes() 一样插入。

Answer 1

听起来您在远程服务器上启用了Magic Quotes。此功能导致您发现的不一致。把它关掉。

一旦你解决了这个问题，你正在尝试的三个方法中最好的方法是mysql_real_escape_string。但是，这是一种传统方法，不推荐使用。使用现代数据库库（如 mysqli 或 PDO）和绑定参数。另见Best way to prevent SQL Injection in PHP。

Answer 2

停止使用mysql_query。

Use PDO 和参数化查询。

$pdo = new PDO($dsn, $username, $password);
$statement = $pdo->prepare("INSERT INTO eventtypes (name) VALUES (:eventype)");
$statement->execute(array('eventtype' => $_GET['name']));

Answer 3

您的代码容易出现 SQL Injection。最好的方法是使用 PDO 或 MYSQLI

使用 PDO 扩展的示例：

<?php

    $dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
    $stmt = $dbh->prepare("INSERT INTO eventtypes (name) VALUES (?)");
    $stmt->bindParam(1, $_GET['name']);
    $stmt->execute();

?>

这将允许您使用单引号插入记录。