問題タブ [mysql-escape-string]

私は友人のためにきちんとした Web サイトを構築していますが、サイトがテキストボックス、テキストエリアなどからの入力を自動的にエスケープしていることに気付きました。

mysql_real_escape_stringこれは、mysql データベースにデータを挿入するときに追加する必要がなく、そのままにしておくことができるということですか?

それとも、これは潜在的なセキュリティ リスクですか?

この行に問題があります:

二重引用符のみを使用すると、次のエラーが表示されました:「データベース クエリに失敗しました: SQL 構文にエラーがあります。MySQL サーバーのバージョンに対応するマニュアルを参照して、行の 'LIMIT 1' 付近で使用する正しい構文を確認してください。 1"

では、二重引用符内で単一引用符を使用することの用途は何ですか?

一致させたいテーブルがありfname、lname

私のクエリは

問題は、名前を書いた場合Joh'nny,、名前'が一致しない場合、どうすれば解決できますか?

fname と lname を一致させたいクエリがあります

John'y という名前の場合、結果は生成されず、行は返されません。クエリをエコーし​​、同じクエリを実行すると、SQL で結果が得られます。

出力はこのようになります

mysqlで行を返します。私は魔法の引用符をオフにしました。非常に単純な問題だと思っていましたが、多くの時間を無駄にしました。

私は何かを逃していますか？

'Python のトリプル クォーテーションで囲まれた文字列を使用すると、 、バッククォートを含む文字列を定義できますが、"気にする必要はありません。

PHP では、ヒアドキュメント( <<<)を使用できます。

MySQLで同じことを行うにはどうすればよいですか? 現在、区切り文字として使用する文字をエスケープする必要があります。たとえば、'区切り文字として使用する場合\'は、文字列で使用する必要があります。

私は次のようなことができるようにしたいと思います

mysql_real_escape_string()などのログインをエスケープするために使用し1' or '1' = '1ていますが、エスケープするとログインできません。「有効なユーザー名とパスワードを入力してください」というエラーが発生します。関数を削除して使用trim()するだけでも問題なく動作しますが、明らかに SQL インジェクションを回避することはできません。

このようなクエリ中にエスケープも試みましたが、まだ機能しません。

試してみましmysqli_real_escape_string()たが、DBエラーが発生したため、MySQLを使用しています。

次に何を試すことができるかについて何か考えはありますか？ありがとう

私は標準のhtmlフォームを持っています:

送信すると、次の PHP を使用して電子メールで送信されます。

これでメールは問題なく送信されますが、元のメッセージの新しい行は "\r\n" として出力されます。

たとえば、ユーザーはフォームに次のように入力します。

これ

は

a

テスト。

しかし、メールで配信されるものは次のとおりです。

この\r\n\r\nis\r\n\r\na\r\n\r\nテスト。

nl2brPHPコードの複数の場所で使用しようとしましたが、何もうまくいきません。電子メールはプレーンテキストとして送信されているため、<br>とにかく機能しません。今のところは保持したいのですがmysql_escape_string、元のメッセージのキャリッジ リターンも保持します。