Экранирование одинарной кавычки в PHP при вставке в MySQL [дубликат]

Question

Экранирование одинарной кавычки в PHP при вставке в MySQL [дубликат]

этот вопрос уже есть ответ здесь:

как я могу предотвратить SQL-инъекцию в PHP? 28 ответов

у меня есть озадачивающая проблема, которую я не могу понять... Я надеюсь, что кто-то здесь сможет указать мне правильное направление...

у меня есть два SQL-запроса: - первый входит информацию из формы в базу данных. - второй берет данные из введенной выше базы данных, отправляет электронное письмо, а затем регистрирует детали транзакции

проблема в том, что кажется, что одна цитата вызывает ошибку MySQL только на второй записи!!! Первый экземпляр работает без проблем, но второй экземпляр вызывает mysql_error().

обрабатываются ли данные из формы иначе, чем данные, захваченные в форме?

запрос#1 - Это работает без проблем (и без избежания одной цитаты)

$result = mysql_query("INSERT INTO job_log 
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id) 
VALUES 
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', '$booking_name', '$address', '$suburb', '$postcode', '$state_id', '$region_id', '$email', '$phone', '$phone2', '$mobile', STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', '$special_instructions', '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')");

Query#2-это не удается при вводе имени с одной кавычкой (т. е. O'Brien)

$query = mysql_query("INSERT INTO message_log 
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status) 
VALUES 
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', '$row->supplier_id', '$row->primary_email' ,'$row->secondary_email', '$subject', '$message_content', '1')");

147

escaping insert mysql php

автор: LuFFy

8 ответов

автор: awgy · Accepted Answer · 2010-04-22 03:11:53

вы должны избегать каждой из этих строк (в обоих фрагментах) с помощью mysql_real_escape_string().

http://us3.php.net/mysql-real-escape-string

причина, по которой ваши два запроса ведут себя по-разному, вероятно, потому, что у вас есть magic_quotes_gpc включен (что вы должны знать, это плохая идея). Это означает, что строки, собранные из $_GET, $_POST и $_COOKIES, экранируются для вас (т. е. "O'Brien" -> "O\'Brien").

как только вы храните данные, и впоследствии извлекаете его опять же, строка, которую вы получите из базы данных, будет не автоматически экранируется для вас. Ты вернешься "O'Brien". Итак, вам нужно будет пройти через mysql_real_escape_string().

автор: Amy McCrobie · Accepted Answer · 2015-03-12 12:36:32

для тех, кто находит это решение в 2015 году и движется вперед...

на mysql_real_escape_string() функция устарела с PHP 5.5.0.

см.:php.net

предупреждение

Это расширение является устаревшей начиная с версии PHP 5.5.0, и будет удалено в будущем. Вместо mysqli либо расширение PDO_MySQL должны быть использованы. См. также MySQL: выбор руководства API и связанных FAQ для получения дополнительной информации. Альтернативы этой функции включить:

mysqli_real_escape_string()

PDO::quote()

автор: goat · Accepted Answer · 2010-04-22 03:10:59

вы должны сделать что-то вроде этого, чтобы помочь вам отладить

$sql = "insert into blah blah....";
echo $sql;

вы, вероятно, обнаружите, что одиночная кавычка экранируется с обратной косой чертой в рабочем запросе. Это могло быть сделано автоматически php через настройку magic_quotes_gpc, или, возможно, вы сделали это сами в какой-то другой части кода(addslashes и stripslashes могут быть функциями для поиска).

посмотреть http://php.net/manual/en/security.magicquotes.php

автор: staticsan · Accepted Answer · 2010-04-22 03:18:38

у вас есть пара вещей, которые воюют в ваших строках.

отсутствие правильного цитирования MySQL (mysql_real_escape_string())
потенциальная автоматическая "волшебная цитата" -- проверьте настройку gpc_magic_quotes
встроенные строковые переменные, что означает, что вы должны знать, как PHP правильно находит переменных

также возможно, что значение с одной кавычкой отсутствует в параметрах первого запроса. В конце концов, ваш пример-это собственное имя, и только второй запрос, кажется, имеет дело с именами.

автор: Error404 · Accepted Answer · 2014-09-29 09:52:34

вы можете сделать следующее, которое экранирует как PHP, так и MySQL.

<?
$text = '<a href="javascript:window.open(\\'http://www.google.com\\');"></a>';
?>

это будет отражать MySQL как

<a href="javascript:window.open('http://www.google.com');"></a>

как это работает?

мы знаем, что как PHP, так и MySQL apostrophes могут быть экранированы с обратной косой чертой, а затем Апострофом.

\'

поскольку мы используем PHP для вставки в MySQL, нам нужно, чтобы PHP все еще писал обратную косую черту в MySQL, чтобы он тоже мог избежать ее. Поэтому мы используем символ побега PHP обратный слеш-слеш вместе с обратным слешем-Апостроф для достижения этой цели.

\\'

автор: user3272729 · Accepted Answer · 2017-08-28 21:00:54

вы должны просто передать переменную или данные внутри " mysql_real_escape_string (trim ($val))"

где $val = данные, которые вас беспокоят.

автор: user2521037 · Accepted Answer · 2013-07-26 12:20:53

У меня была такая же проблема и я решил ее так:

$text=str_replace("'","\'",$YourContent);

автор: user3255636 · Accepted Answer · 2014-01-31 01:45:44

mysql_real_escape_string() или str_replace() функция поможет вам решить вашу проблему.

http://phptutorial.co.in/php-echo-print/