問題タブ [mysql-escape-string]

私が最近遭遇した問題は、このコードを使用してデータベースのフィールドを更新しようとすると機能しないということでした。%私はそれを更新されているテキストのサインを持っていることにさかのぼります（ $note、そして$note_escaped）...それを挿入することはsprintfうまくいきました。

sprintf更新に使用するべきではありませんか、それとも別の形式にする必要がありますか？

検索をしましたが、何も思いつきませんでした。

どうもありがとう！

ですから、これは私たち全員が知っておくべきことであり、最初に見たときに頭に浮かびました..

5.3 から非推奨になっていることは知っていmysql_escape_stringますが、実際の違いは何でしたかmysql_real_escape_string。

私が考えたのは、mysql リソースの 2 番目の引数を取ることとmysql_real_escape_stringまったく同じであるということです。mysql_escape_stringmysql_real_escape_string

それで、2つの関数が必要ないため、文字列の処理方法に何らかの違いがあるに違いないと思いました。

そのため、違いは純粋にロケールと文字エンコーディングにあると考えました。?

誰かが私のためにこれを片付けることができますか?

$ this-> db-> escape（）の逆を実行して、まだエスケープされていないときに元の文字列を取得する関数を探していました。

Codeigniterのドキュメントで検索してみました。見つからないと思います。

また、ネイティブPHP関数を見つけようとしました（MySQLを使用する場合はmysql_real_escape_stringを使用するため）が、これまでのところ、見つけることができる最も近いものはstripslashes（）です。

オープンソースのoauth-phpライブラリを見つけたコードを理解しようとしています。関連するコードスニペットは次のとおりです。

ここで、$ argsは、フォーマットされた印刷操作で使用することを目的とした変数を含む引数の配列です。array_mapのドキュメントを確認しました。

http://php.net/manual/en/function.array-map.php

ユーザーのコメントと、array_map（）の呼び出しの最初のパラメーターが配列自体であるユースケースは見当たりませんでした。私が見たすべてのユースケースで、最初のパラメーターはNULLまたは（コールバック）関数のいずれかでした。コードが$args配列を受け取り、$ this-> sql_escape_string（）によってサニタイズされた引数を使用して新しい配列を構築することは私にはかなり明白に思えます。

しかし、「array（$ this、'sql_escape_string'）」というステートメントは、単に「$ this-> sql_escape_string」を期待していたので、私をスローしますか、それとも有効な構文ではありませんか？もしそうなら、$ thisと'sql_escape_string'を配列でラップすると、array_map（）が使用する有効なコールバック関数がどのように作成されますか？

-ロシュラー

私はcodeigniterを使用しており、RSSフィードからいくつかのデータを入力しています。Codeigniterは、それ自体ですべてを逃れているわけではないようです。以下は2つの例です。なぜ私がこの問題を抱えているのかについてのアイデアはありますか？

//インシデント1

元の入力テキストFuel › A simple,

MysqlデータFuel  A simple,

phpがエコーしているものFuel › A simple,

//インシデント2

として読みますI am looking for a new mouse... on

元の入力I am looking for a new mouse… on

MysqlデータI am looking for a new mouse <there is a line break here> on

phpがエコーしているものI am looking for a new mouse… on

'文字列の配列を受け取り、エスケープして"配列を返すメソッドを書いています。

これまでのところ、私はこれを持っています:

それから私はこれを持っています：

しかし、何らかの理由で何もエコーされず、エラーは発生しません。理由がわかりません。

どんな助けでも感謝します。

この関数を通過した後、入力はどの程度安全ですか?

100%安全ですか?

npmのnode-mysqlのドキュメント（https://npmjs.org/package/mysql）には、次のようなテーブル結合で列名をオーバーラップさせるオプションがあります。

クエリ識別子の形式をエスケープすると、識別子connection.query()をサニタイズする2番目のパラメータがに渡されます。

この2つを一緒に使用するにはどうすればよいのでしょうか。結合で識別子をエスケープする必要があるが、ネストされたテーブルのオプションを宣言したいとします。

connection.query()次のように、エスケープ値を2番目のパラメーターとして渡そうとしました。

しかし、役に立たない。とにかくこれを行うことができるかどうか疑問に思いますか？

ご存知のように、Yii などのフレームワークでは生の MySQL クエリを使用できません。mysql_escape_stringユーザー入力での SQL インジェクションを回避するために、Yii フレームワークで実行されるプロジェクトで使用したいと考えています。

mysql_escape_stringは PHP 5.5 で廃止され、PDO の代替手段があることを認識しています。Yii フレームワークの代替手段と mysql_escape_string() の PDO 方法は何ですか?

フェイスブックのウォールみたいなものを作っています（投稿コメントシステム）

上記のコードで返された結果をテーブルに保存し、表示しようとすると、「 test」のような html コードを表示できます

ただし、リンク切れがあると\n\rなどに変換されます。テキストエリア経由で投稿しています。

リンクブレークを処理しながら、htmlentities と mysql_real_escape_string を有効にするにはどうすればよいですか。

ありがとう！