在PHP中插入MySQL时转义PHP中的单引号

Question

我有一个令人困惑的问题，我似乎无法理解...我希望这里有人能够指引我朝着正确的方向...

我有两条SQL语句： - 第一条从表单中输入信息到数据库中。 - 第二个从上面输入的数据库中获取数据，发送电子邮件，然后记录交易的详细信息

问题是，它似乎是一个单引号只触发第二个条目上的MySQL错误！ ！第一个实例没有问题，但第二个实例触发mysql_error()。

来自表单的数据是否得到与表单中捕获的数据不同的处理？

查询＃1 - 这工作没有问题（并且没有逃逸单引号）

$result = mysql_query("INSERT INTO job_log 
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id) 
VALUES 
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', '$booking_name', '$address', '$suburb', '$postcode', '$state_id', '$region_id', '$email', '$phone', '$phone2', '$mobile', STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', '$special_instructions', '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')"); 

查询＃2 - 用单引号（即奥布莱恩）

输入姓名时，该故障

$query = mysql_query("INSERT INTO message_log 
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status) 
VALUES 
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', '$row->supplier_id', '$row->primary_email' ,'$row->secondary_email', '$subject', '$message_content', '1')"); 

Answer 1

您应该使用mysql_real_escape_string()转义每个字符串（在这两个片段中）。

http://us3.php.net/mysql-real-escape-string

你两个查询行为不同的原因可能是因为你有magic_quotes_gpc开启（你应该知道是一个坏主意）。这意味着从$ _GET，$ _POST和$ _COOKIES收集的字符串会被转义（即"O'Brien" -> "O\'Brien"）。

一旦你存储了数据，然后再次检索它，你从数据库中取回的字符串将会自动从你的而不是中逃脱。你会回到"O'Brien"。所以，你需要通过mysql_real_escape_string()。

Answer 2

你应该做这样的事情来帮助您调试

$sql = "insert into blah blah...."; 
echo $sql; 

你可能会发现，单引号逃脱在工作查询反斜杠。这可能是由php通过magic_quotes_gpc设置自动完成的，也可能是你自己在代码的其他部分完成的（addslashes和stripslashes可能是需要查找的函数）。

见 http://php.net/manual/en/security.magicquotes.php

Answer 3

你有几件事情在你的字符串战斗。

• 缺乏正确的MySQL引用的（mysql_real_escape_string()）
• 潜在自动“魔术引号” - 检查你的gpc_magic_quotes设置
• 嵌入式字符串变量，这意味着你必须知道如何PHP正确认定变量

单引号值也可能不存在于第一个查询的参数中。毕竟，你的例子是一个合适的名字，只有第二个查询似乎在处理名称。

Answer 4

我有同样的问题，我解决了它这样的：

$text=str_replace("'","\'",$YourContent); 

有可能是一个更好的方式来做到这一点，但它的工作对我来说，它应该为你工作了。

Answer 5

mysql_real_escape_string（）或str_replace（）函数的功能将帮助您解决您的问题。

http://phptutorial.co.in/php-echo-print/

Answer 6

你应该只传递变量或数据里 “mysql_real_escape_string（修剪（$ VAL））”

其中$ VAL =这是困扰你的数据。

Answer 7

您可以执行以下操作，同时转义PHP和MySQL。

<? 
$text = '<a href="javascript:window.open(\\\'http://www.google.com\\\');"></a>'; 
?> 

这将反映MySQL作为

<a href="javascript:window.open('http://www.google.com');"></a> 

它是如何工作的？

我们知道这两个PHP和MySQL省略号可以用反斜杠，然后撇号进行转义。

\' 

因为我们使用PHP插入到MySQL，我们需要PHP仍然写反斜杠到MySQL所以它也能够逃脱它。 因此，我们使用反斜杠反斜杠的PHP转义字符和反斜杠撇号来实现此目的。

\\\' 

Answer 8

对于任何人在2015年发现这个解决方案和前进......

的mysql_real_escape_string()功能被弃用PHP 5.5.0的。

参见：php.net

警告

这个扩展不赞成PHP 5.5.0的，并会在将来被移除。相反，应该使用MySQLi或PDO_MySQL扩展。另请参阅MySQL：选择API指南和相关FAQ以获取更多信息。替代该功能包括：

mysqli_real_escape_string()

PDO::quote()