Экранирование одинарной кавычки в PHP при вставке в MySQL [дубликат]
этот вопрос уже есть ответ здесь:
- как я могу предотвратить SQL-инъекцию в PHP? 28 ответов
у меня есть озадачивающая проблема, которую я не могу понять... Я надеюсь, что кто-то здесь сможет указать мне правильное направление...
у меня есть два SQL-запроса: - первый входит информацию из формы в базу данных. - второй берет данные из введенной выше базы данных, отправляет электронное письмо, а затем регистрирует детали транзакции
проблема в том, что кажется, что одна цитата вызывает ошибку MySQL только на второй записи!!! Первый экземпляр работает без проблем, но второй экземпляр вызывает mysql_error()
.
обрабатываются ли данные из формы иначе, чем данные, захваченные в форме?
запрос#1 - Это работает без проблем (и без избежания одной цитаты)
$result = mysql_query("INSERT INTO job_log
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id)
VALUES
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', '$booking_name', '$address', '$suburb', '$postcode', '$state_id', '$region_id', '$email', '$phone', '$phone2', '$mobile', STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', '$special_instructions', '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')");
Query#2-это не удается при вводе имени с одной кавычкой (т. е. O'Brien)
$query = mysql_query("INSERT INTO message_log
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', '$row->supplier_id', '$row->primary_email' ,'$row->secondary_email', '$subject', '$message_content', '1')");
8 ответов
вы должны избегать каждой из этих строк (в обоих фрагментах) с помощью mysql_real_escape_string()
.
http://us3.php.net/mysql-real-escape-string
причина, по которой ваши два запроса ведут себя по-разному, вероятно, потому, что у вас есть magic_quotes_gpc
включен (что вы должны знать, это плохая идея). Это означает, что строки, собранные из $_GET, $_POST и $_COOKIES, экранируются для вас (т. е. "O'Brien" -> "O\'Brien"
).
как только вы храните данные, и впоследствии извлекаете его опять же, строка, которую вы получите из базы данных, будет не автоматически экранируется для вас. Ты вернешься "O'Brien"
. Итак, вам нужно будет пройти через mysql_real_escape_string()
.
для тех, кто находит это решение в 2015 году и движется вперед...
на mysql_real_escape_string()
функция устарела с PHP 5.5.0.
см.:php.net
предупреждение
Это расширение является устаревшей начиная с версии PHP 5.5.0, и будет удалено в будущем. Вместо mysqli либо расширение PDO_MySQL должны быть использованы. См. также MySQL: выбор руководства API и связанных FAQ для получения дополнительной информации. Альтернативы этой функции включить:
mysqli_real_escape_string()
PDO::quote()
вы должны сделать что-то вроде этого, чтобы помочь вам отладить
$sql = "insert into blah blah....";
echo $sql;
вы, вероятно, обнаружите, что одиночная кавычка экранируется с обратной косой чертой в рабочем запросе. Это могло быть сделано автоматически php через настройку magic_quotes_gpc, или, возможно, вы сделали это сами в какой-то другой части кода(addslashes и stripslashes могут быть функциями для поиска).
посмотреть http://php.net/manual/en/security.magicquotes.php
у вас есть пара вещей, которые воюют в ваших строках.
- отсутствие правильного цитирования MySQL (
mysql_real_escape_string()
) - потенциальная автоматическая "волшебная цитата" -- проверьте настройку gpc_magic_quotes
- встроенные строковые переменные, что означает, что вы должны знать, как PHP правильно находит переменных
также возможно, что значение с одной кавычкой отсутствует в параметрах первого запроса. В конце концов, ваш пример-это собственное имя, и только второй запрос, кажется, имеет дело с именами.
вы можете сделать следующее, которое экранирует как PHP, так и MySQL.
<?
$text = '<a href="javascript:window.open(\\'http://www.google.com\\');"></a>';
?>
это будет отражать MySQL как
<a href="javascript:window.open('http://www.google.com');"></a>
как это работает?
мы знаем, что как PHP, так и MySQL apostrophes могут быть экранированы с обратной косой чертой, а затем Апострофом.
\'
поскольку мы используем PHP для вставки в MySQL, нам нужно, чтобы PHP все еще писал обратную косую черту в MySQL, чтобы он тоже мог избежать ее. Поэтому мы используем символ побега PHP обратный слеш-слеш вместе с обратным слешем-Апостроф для достижения этой цели.
\\'
вы должны просто передать переменную или данные внутри " mysql_real_escape_string (trim ($val))"
где $val = данные, которые вас беспокоят.