如何提交引號（「）登錄SQL

Question

我做了以下我的變量保護：每次我試圖提交包含引號符號的字符串時

$ad_title=htmlentities($ad_title); 
$ad_title=mysql_real_escape_string($ad_title); 
$ad_title=stripslashes($ad_title); 

但（」） - 一切在它被識別爲錯誤的SQL查詢之後。

任何人都可以讓我知道我錯過了什麼嗎？

我知道mysql_real_escape_string應該修復它，但它沒有。

Answer 1

你的問題是stripslashes正在取消mysql_real_escape_string的作用。

例如

starting out with: Miles O'Brien 
after m_r_e_s(): Miles O\'Brien 
after strip_slashes: Miles O'Brien 

Answer 2

從代碼中刪除第三行。

$ad_title=htmlentities($ad_title); 
$ad_title=mysql_real_escape_string($ad_title); 

Answer 3

你mysql_real_escape_string到的stripslashes後調用有效抵消了出來。

此外，你應該逃避你的HTML的東西之前對你輸出它，而不是當你將它存儲在數據庫中。

或者，您也可以使用準備好的語句，但我感覺懶解釋說，在這個答案。 （還有數以百萬計的職位上SO一下吧。）

Answer 4

$ad_title=htmlentities($ad_title); 

您可以在（立即）插入到HTML文檔，而不是一個數據庫之前...但htmlspecialchars應該足夠了。

$ad_title=mysql_real_escape_string($ad_title); 

你可以做到這一點（立即）一些字符串一起搗碎成發往MySQL的SQL語句之前......你買得多使用prepared statements and bound arguments更好。

$ad_title=stripslashes($ad_title); 

做...嗯...也許，如果你堅持有魔術引號開啓...但你做任何轉義之前...且僅當您無法打開魔術引號關閉的服務器上。

運行mysql_real_escape_string後，因爲它（主要）逆轉它的效果肯定不這樣做！

Answer 5

您添加了不應使用行

$ad_title=stripslashes($ad_title); 

。你基本上是用該行剝離SQL注入保護。刪除線，它應該沒問題。

Answer 6

<?php 
//This should be called first, but ONLY if it is required, or it will corrupt your data. 
//This must be done before you manipulate the data in any other way. 
//Generally, this is used on the data if your server has magic quotes on. 
//I've added code to detect if it is on or not. 
$ad_title = (get_magic_quotes_gpc()) ? stripslashes($ad_title) : $ad_title; 

//This line is fine, but only do it if you know it is necessary, because it is changing your data. 
//If you are doing it just because you were receiving an SQL error, I would recommend you comment this out. 
$ad_title = htmlentities($ad_title); 

//This should be the last thing you do to your data before using it in SQL. 
//This will take care of all required escaping, and protect you from SQL injection. 
$ad_title = mysql_real_escape_string($ad_title); 
?>