サイトがあり、ユーザーがタイトルを入力します。タイトルに任意の句読点を使用できるようにしたい。私の問題は、クエリが病気です:
"INSERT INTO table(title, body) VALUES ('$title','$body')";
$title と $body は GET 変数です。タイトルに引用符を付けると、文字列を終了して無効な SQL クエリを作成するかのように動作します。私が持っていると言う
$title = "I'm entering a title";
"INSERT INTO table(title, body) VALUES ('$title','$body')";
//"INSERT INTO table(title, body) VALUES ('I'm entering a title','$body')";
文字列を終了します。すべての二重引用符とエスケープ文字を使用しようとしましたが、何も使用しませんでした。誰かが解決策を知っていますか?
データベースにデータを入力するとき、およびデータベースからデータを出力するときに、これらの 2 つの関数を使用します。
/****************************************/
/* Encode special chars */
/* */
/****************************************/
function DBin($string)
{
return trim(htmlspecialchars($string,ENT_QUOTES));
}
/****************************************/
/* Decode special chars */
/* */
/****************************************/
function DBout($string)
{
$string = trim($string);
return htmlspecialchars_decode($string,ENT_QUOTES);
}
最初に PHP 経由で変数をサニタイズしてから、PDO または MySQLi 経由でクリーンに送信する必要があります...
このphp関数を試すことができます..
mysql_real_escape_string
$title1 = "I'm entering a title";
$title = mysqli_real_escape_string($title1);
"INSERT INTO table(title, body) VALUES ('$title','$body')";
これを試してみてください。これが役立つことを願っています...
mysqli_real_escape_stringSQLが必要です。
この状況にはすでに組み込みメソッドがあります...mysql_escape_stringメソッドを見てください...以下のコードを参照してください...
$title = "I'm entering a title";
$title = mysql_escape_string( $title );
// $title === I\'m entering a title
"INSERT INTO table(title, body) VALUES ('$title','$body')";
// "INSERT INTO table(title, body) VALUES ('I\'m entering a title','$body')";