> 백엔드 개발 > PHP 튜토리얼 > php mysql 字符转义有关问题

php mysql 字符转义有关问题

WBOY
풀어 주다: 2016-06-13 13:28:27
원래의
1092명이 탐색했습니다.

php mysql 字符转义问题

后台处理
$name=addslashes($_POST['name']);//转义单引号

insert的时候,是不是带着转义符号一起存到数据库里?还是去掉转义符号存进去?

如果是带着转义符号存入到数据库,这就出现了一个小问题

如果我要查义name是不是重复,就需要对$name进行比较

依然进行转义 $name=addslashes($_POST['name']);

SELECT count(*) AS num FROM talbe WHERE name = $name

num显示的是0,也就是说找不到相同的,

打印sql语句为 SELECT count(*) AS num FROM talbe WHERE name = 'this/'s a apple'

num的值为零,我打开数据库发现,name这个字段的值是 this/'s a apple,这样肯定不能找到

如果将$name,再转义一次才能找到,$name的值就是 this///'s a apple 才能找到纪录

也就是说用两次addslashes函数

请问大家是如何处理这样的问题?如果要用两次不是很麻烦吗?


------解决方案--------------------
再就是如果Php.ini开启了magic_quotes_gpc,那么cookie啊,post,get啊,都会默认就addslashes过了,比如用户上传的是li'lei,那么你$_POST['name']得到就是li\'lei, 这样直接拼接到sql里:

select * from table where name='li\'lei'就行了,不需要addslashes了。
如果你给它addslashes了,那就变态了,因为\也会影响mysql解析命令,所以addslashes也会转移它,结果就真的变态了:

addslashes("li\'lei");将生成li\\\'lei, 拼成sql:

select * from table where name='li\\\'lei',入库后实际就是li\'lei,多了一个\。


再另外,stripslashes很少使用,因为一般只有php.ini默认开启了magic_quotes_gpc(get,post,cookie的意思)的情况下,如果我们希望使用到用户真正提交的值,比如li'lei,那么需要做stripslashes($_POST['name']); 而这里的name是被自动addslahes过的li\'lei, strip后就是li'lei了。
如果不strip,那么输出到页面上,用户看到的会是li\'lei。

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿