“和”的MySQL / PHP问题

Question

我使用 PHP 和 MySQL 用 cmets 制作了一个简单的新闻系统，它在我的本地 Apache 服务器上运行良好，无论是在我的 Fedora 10 机器上还是在我的 Windows 7 机器上。但是现在我遇到了一个问题，我将它上传到了一个网络主机，它不断返回所有的 ' 和 " 作为 \' 和 \"。

我相信这要么是出于安全原因自动添加它们的 Web 主机，要么是 MySQL 是错误的排序规则，但我还没有能够解决它，测试了多个 MySQL 排序规则。

下面是一个查询示例：

mysql_query("INSERT INTO news (title, poster, text, time) VALUES ('$newstitle', '1', '$newstext', '$time')") or die(mysql_error());

$time 是 time(); $newstitle 和 $newstext 是从 $_POST 解析的，并且在我运行查询之前都通过 mysql_real_escape_string() 运行（我想这可能是问题所在，但由于它是我不想要的安全性的一部分删除它，因为它不会在我的本地服务器上造成问题）

最后一点：在我的本地 apache 服务器上，latin1_swedish_ci 在 web 主机服务器上不起作用。

编辑：

它们在数据库中看起来像这样：

\'\'\'\"\"\"

虽然在我的本地，他们没有额外的反斜杠，所以它必须是 PHP 添加它。除了添加一个删除多余反斜杠的函数之外，还有什么方法可以解决这个问题？

Answer 1

这些额外的反斜杠可能是Magic Quotes。在处理数据之前尝试disable them or remove them。

Answer 2

不，您不想运行 stripslashes()。相反，请正确设置您的服务器。

首先，关闭magic_quotes。这意味着进入脚本的任何数据都不会被转义。

然后在数据上运行 mysql_real_escape_string()，这将只为查询添加斜线，并将数据存储在数据库中而没有斜线。

当您再次加载数据时，一切顺利，引号周围不会有任何反斜杠。

Answer 3

编辑：正如下面多次提到的，在 cmets 中，解决此问题的正确方法是禁用魔术引号。如果我在回答之前完全阅读并理解了这个问题，那可能会更好;)

---

mysql_real_escape_string() 将按照它所说的去做，并转义字符串中的相关字符。转义引号是通过在它们前面加上转义字符（PHP 和许多其他语言中的反斜杠）来完成的。 当您从数据库中拉回数据时，对内容执行类似运行stripslashes()（参见PHP doc）的操作，以删除引号等内容中的斜线。

编辑：正如 Gumbo 提到的，这也可能是由于在服务器上启用了魔术语录。你应该禁用这些as per his answer。

Answer 4

查看您的magic_quotes 设置，并在您的服务器上进行比较。您的家庭服务器可能禁用了magic_quotes（因为它们应该是，因为在当前版本的PHP 中Magic Quotes is deprecated），并且您的网络主机可能启用了它们（可悲的是，这很常见）。您可以使用：

<?php echo phpinfo(); ?>

进行快速比较。

如果你不熟悉magic_quotes，那么在部署你关心的任何东西之前，你可能想多了解一下PHP的安全性。

Questions containing "magic_quotes"

Answer 5

您的主机可能启用了Magic Quotes。

Answer 6

看看magic_quotes_gpc。您可以通过 .htaccess 将其关闭并使用 mysql_real_escape_string()。

Answer 7

真正的解决方案是在插入查询中使用准备好的语句。

这是一个顶部有插入示例的网站。

Prepared Statements in PHP

好处是这是一种最佳实践，副作用是您不再需要担心清理输入以防 SQL 注入攻击。