問題タブ [stripslashes]

サーバーで文字列をDBに挿入してからmysql_real_escape_string印刷すると、すべて問題なく、mysqlが自動ストリップスラッシュを作成するように見えます。たとえば、保存してtes'tから印刷します。tes'tただし、php 4.2 がインストールされているローカルホストではtes\'t、同じコードを使用します。mysqlの謎は?? どのようにデータを挿入して選択し、データを安全かつきれいにデータベースに保存する必要があるかを知りたいです。それは私を本当に混乱させるからです！

mysql_real_escape_string を使用してエスケープした後、データベースにいくつかの HTML テキストを挿入しました。それらを XML ドキュメントに追加して、フラッシュ ファイルで読み取ろうとしています。DOMDocument クラスを使用して XML ドキュメントを作成しています。ここに私の試みと出力があります:

出力：

スラッシュがたくさん！

2を試してください：

出力：

スラッシュも多い

何か案は ？

したがって、キーと値が入力される辞書がありますが、唯一の問題は、この一般的なアウトライン「blah\stuff」を含む文字列を入力しようとしてログに記録しようとすると、そのキーの値が「何とか\\もの。」ユーザーが入力する方法のように、「何とか」にしたいのです。誰でもこれを修正する方法を知っていますか?

私は PDO 準備済みステートメントを使用しているため、データベースに挿入する前に必要なときにスラッシュを追加しています。

スラッシュを表示せずに結果を取得してウェブサイトに表示する適切な方法を考えていました。

を使うだけで簡単echo stripslashes($result->message);ですか？

私のクエリは次のようになります。

これが私のquery方法です：

編集：get_magic_quotes_gpcWHM（cPanel）がオフだと言ったにもかかわらず、実際にオンになりました

レストランのメニュー項目を保存するワードプレスのプラグインを作成しました。しかし、アポストロフィが使用されると、wordpress は管理者とフロント エンドの両方でスラッシュを使用してそれらをエスケープし、保存するたびにテキストにスラッシュを追加し続けます。

これは、私が郵便番号として持っているものの抜粋と例です:

および入力フォームフィールドで：

ストリップスラッシュを試しましたが、うまくいきませんでした。これは何年にもわたって議論されてきましたが、ワードプレスの決定的な解決策は見当たりません. サーバーで魔法の引用符がオフになっています....何かアイデアはありますか?

個人のブログをゼロから作成していますが、MySQL からテキスト本文を出力するときにリンクが正しく表示されません。

例えば; ブログ投稿に約 200 ワードのリンクが埋め込まれています。データベースからブログ投稿を呼び出すと、リンクが正しく表示されません。stipslashes()andを使用してみhtmlentities()ましたが、どちらも機能していません。

ブログ投稿をDBに保存するコードは次のとおりです。

ブログ投稿を表示するコードは次のとおりです。

問題は$content変数内にあります

ShowtimeというWordPressプラグインからの出力をカスタマイズしようとしています。Showtimeには、スケジュールに入力された内容を出力するための次のJavascriptが含まれています。スタイリングの理由で、私はショーのためにプラグイン管理エリアに入ります-

私が抱えている問題は、これが文字通りページに印刷/エコーされ、HTMLがpreタグでラップされているかのようにレンダリング/処理されないことです。

次のJavaScriptがショーを出力することを理解していますが、実際にhtmlをエコーせずに処理するには、どうすればよいでしょうか。正しい用語を使用していない場合は申し訳ありません。

どんな助けでも大歓迎

ロブ

アップデート

コメントをありがとう-私に考えさせるために。このJavaScriptは、crud.phpというPHPスクリプトからShownameを取得しています。これを見ると、これはcrud.phpの問題のある行である可能性があります

javascript自体ではなく？

間違ったURL構造を防ぐために、この関数を使用しています。

入力文字列：

出力：

私が欲しいもの：

もちろん、変数をデータベースにポストするときは、mysql_real_escape_string. このようにして、特殊文字がデータベースに正しく入ります。

この変数をデータベースから読み取るとき、次のように mysql_real_escape_string を再度使用しますstripslashes。

そうしないと、引用符の前にスラッシュが表示されます。

上記のこれを使用$varしてエコーしたいecho "$var"場合は、すでに削除されてエスケープされているため、単純にできますよね？

stripslashesさらに、変数に+を使用mysql_real_escape_stringした場合、この同じ変数をデータベースに再度 POST するだけでmysql_real_escape_string十分ですか? stripslashesまたは、この変数を再度使用する必要がありますか?

要約:

これがどのように機能するかを知っているように：

1. mysql_real_escape mysqlでデータを使用するときはいつでも使用してください。変数をデータベースに投稿するのと同じように、変数を介してクエリを読み取るとき。
2. stripslashesエスケープされた変数をエコーアウトするときに使用します。
3. stripslashes変数をデータベースに再度投稿してエスケープしたい場合は、再度ストリップスラッシュする必要はありません。

恋しいhtmlspecialcharsですか？

編集

それで、これはすべて間違っていますか？

重複の可能性:
PHP で SQL インジェクションを防ぐ方法は?

私は無料の php サーバーを使用しています。php.ini ファイルにアクセスできず、magic_quotes がオンになっています。フォームページを介してmysqlにレコードを追加している間、私のphpコードは

私の質問：

1. Magic_quote の効果は減価償却して削除し、潜在的に悪意のあるユーザー入力を最適な方法で mysql に入れるため、これを排除したいと考えています。上記の私のコードは正しいですか、それとも変更、改善が必要ですか?
   
   ありがとう、