使用PHP 在SQL Server 中轉義字串:綜合指南
使用PHP 處理SQL Server 時,保護您的資料至關重要透過正確轉義字串進行SQL 注入攻擊。這是一種防止惡意輸入被解釋為 SQL 命令的技術。
mysql_real_escape_string() 的替代方法
與 MySQL 不同,SQL Server 不提供內建的相當於 mysql_real_escape_string() 的函式。
Enter addslashes()
addslashes() 是一個 PHP 函數,通常被認為是字串轉義的潛在替代方法。但是,需要注意的是,addslashes() 並不完全適合與 SQL Server 資料庫一起使用。
更強大的解決方案
理想的解決方案是手動編碼資料為十六進位位元組字串。以下是一個指導您的程式碼片段:
$unpacked = unpack('H*hex', $data);
mssql_query('
INSERT INTO sometable (somecolumn)
VALUES (0x' . $unpacked['hex'] . ')
');可重複使用轉義的抽象
要簡化和重用轉義過程,您可以建立一個如下所示的自訂函數:
function mssql_escape($data) {
if(is_numeric($data))
return $data;
$unpacked = unpack('H*hex', $data);
return '0x' . $unpacked['hex'];
}
mssql_query('
INSERT INTO sometable (somecolumn)
VALUES (' . mssql_escape($somevalue) . ')
');替代mysql_error()
對於錯誤處理,SQL Server 提供了 mssql_get_last_message() 作為 mysql_error() 的替代。
以上是如何使用 PHP 安全地轉義 SQL Server 查詢中的字串?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
