谁能告诉我如何在 MySQL 数据库中插入特殊字符?我制作了一个 PHP 脚本,旨在将一些单词插入数据库,但如果单词包含 ' 则不会插入。
我可以在使用 PHPmyAdmin 时很好地插入特殊字符,但在通过 PHP 插入它们时它不起作用。会不会是 PHP 正在将特殊字符更改为其他字符?如果是这样,有没有办法让它们正确插入?
【问题讨论】:
标签: php mysql database insert special-characters
$insert_data = mysql_real_escape_string($input_data);
假设您将数据存储为$input_data
【讨论】:
mysqli_real_escape_string。
你在逃跑吗?试试 mysql_real_escape_string() 函数,它会处理特殊字符。
【讨论】:
您很可能转义了 SQL 字符串,类似于:
SELECT * FROM `table` WHERE `column` = 'Here's a syntax error!'
您需要转义引号,如下所示:
SELECT * FROM `table` WHERE `column` = 'Here\'s a syntax error!'
【讨论】:
使用 mysql_real_escape_string
那么mysql_real_escape_string有什么作用呢?
此 PHP 库函数在以下字符前添加反斜杠:\n、\r、\、\x00、\x1a、' 和“。重要的部分是单引号和双引号被转义,因为这些字符最有可能打开漏洞。
请了解有关 sql_injection 的信息。你可以使用这个link 作为开始
【讨论】:
您很可能将它们直接粘贴到查询中。相反,您应该使用适当的函数“转义”它们 - mysql_real_escape_string、mysqli_real_escape_string 或 PDO::quote,具体取决于您使用的扩展名。
【讨论】:
请注意,正如其他人指出的那样,mysql_real_escape_string() 将解决问题(addslashes 也将解决),但是出于安全原因,您应该始终使用 mysql_real_escape_string() - 请考虑:
SELECT * FROM valid_users WHERE username='$user' AND password='$password'
如果浏览器发送怎么办
user="admin' OR (user=''"
password="') AND ''='"
查询变为:
SELECT * FROM valid_users
WHERE username='admin' OR (user='' AND password='') AND ''=''
即安全检查被完全绕过。
C.
【讨论】:
可能“mysql_real_escape_string()”对你有用
【讨论】:
$var = mysql_real_escape_string("data & the base");
$result = mysql_query('SELECT * FROM php_bugs WHERE php_bugs_category like "%' .$var.'%"');
【讨论】:
使用这个:htmlentities($_POST['field']);
够了。这对于特殊字符:
用于CI htmlentities($this->input->post('control_name'));
【讨论】:
例如:
$parent_category_name = 男装
这里考虑 SQL 查询
$sql_category_name = "SELECT c.*, cd.name, cd.category_id as iid FROM ". DB_PREFIX . "category c LEFT JOIN " . DB_PREFIX . "category_description cd ON (c.category_id = cd.category_id) WHERE cd.name = '" . $this->db->escape($parent_category_name) . "' AND c.parent_id =0 ";
错误:
Static analysis:
1 errors were found during analysis.
Ending quote ' was expected. (near "" at position 198)
SQL query: Documentation
SELECT c.*, cd.name, cd.category_id as iid FROM oc_category c LEFT JOIN oc_category_description cd ON (c.category_id = cd.category_id) WHERE cd.name = 'Men's Clothing' AND c.parent_id =0 LIMIT 0, 25
MySQL said: Documentation
#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's Clothing' AND c.parent_id =0 LIMIT 0, 25' at line 1
尝试实施:
$this->db->escape($parent_category_name)
上述方法适用于 OpenCart 框架。找到您的框架并实施或
mysql_real_escape_string() 在核心 PHP 中
这将成为男士服装,即在我的情况下
$sql_category_name = "SELECT c.*, cd.name, cd.category_id as iid FROM ". DB_PREFIX . "category c LEFT JOIN " . DB_PREFIX . "category_description cd ON (c.category_id = cd.category_id) WHERE cd.name = '" . $this->db->escape($parent_category_name) . "' AND c.parent_id =0 ";
因此,您将通过实现 escape() as 来清楚地了解查询
SELECT c.*, cd.name, cd.category_id as iid FROM oc_category c LEFT JOIN oc_category_description cd ON (c.category_id = cd.category_id) WHERE cd.name = 'Men\'s Clothing' AND c.parent_id =0
【讨论】:
htmlspecialchars 函数是最好的解决方案。今天我正在寻找如何插入带有特殊字符的字符串,谷歌抛出了这么多 Stackoverflow 列表。他们都没有为我提供解决方案。我在 w3schools 页面找到了它。是的,我可以像这样使用这个函数来解决我的问题:
$abc = $POST['xyz'];
$abc = htmlspecialchars($abc);
【讨论】:
我把它放在这里以供将来参考。浪费了 20 分钟后,我找到了将特殊字符放入数据库的解决方案。我们不必像那样使用mysql_real_escape_string($holdvalue)。我们必须这样做。 $db->real_escape_string($holdvalue)。其中$db 是数据库连接详细信息。 $db = mysqli_connect(DB_SERVER, DB_USERNAME, DB_PASSWORD, DB_NAME);.
【讨论】: