使用PHP插入数据库时​​如何转义引号[重复]

Question

在我的数据库中插入包含引号的内容时出现错误消息。 这是我试图逃避引号但没有奏效的方法：

$con = mysql_connect("localhost","xxxx","xxxxx");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

mysql_select_db("test", $con);

$nowdate = date('d-m-Y')

$title =  sprintf($_POST[title], mysql_real_escape_string($_POST[title]));

$body = sprintf($_POST[body], mysql_real_escape_string($_POST[body]));

$sql="INSERT INTO articles (title, body, date) VALUES ('$title','$body','$nowdate'),";

if (!mysql_query($sql,$con))
  {
  
die('Error: ' . mysql_error());
  
}

header('Location: index.php');

Answer 1

请开始使用准备好的参数化语句。它们消除了对任何 SQL 转义问题的需要，并关闭了字符串连接的 SQL 语句留下的 SQL 注入漏洞。此外，它们在循环中使用时更令人愉悦且速度更快。

$con  = new mysqli("localhost", "u", "p", "test");
if (mysqli_connect_errno()) die(mysqli_connect_error());

$sql  = "INSERT INTO articles (title, body, date) VALUES (?, ?, NOW())";
$stmt = $con->prepare($sql);
$ok   = $stmt->bind_param("ss", $_POST[title], $_POST[body]);

if ($ok && $stmt->execute())
  header('Location: index.php');
else
  die('Error: '.$con->error);

Answer 2

它应该可以在没有 sprintf 的情况下工作

$title = mysql_real_escape_string($_POST[title]);
$body = mysql_real_escape_string($_POST[body]);

Answer 3

对于任何数据库查询，尤其是来自基于 Web 的应用程序的插入，您确实应该使用参数。有关如何在查询中使用参数的 PHP 帮助，请参见此处：PHP parameters

这将有助于防止 SQL 注入攻击以及避免您必须转义字符。

Answer 4

你的代码

$sql="INSERT INTO articles (title, body, date) VALUES ('$title','$body','$nowdate'),";

应该如下

$sql="INSERT INTO articles (title, body, date) VALUES ('$title','$body','$nowdate')";

查询末尾不应有逗号