如何在PHP中正確轉義單引號以防止MySQL查詢錯誤？-mysql教程-PHP中文網

如何在PHP中正確轉義單引號以防止MySQL查詢錯誤？

Barbara Streisand

發布： 2024-12-18 16:51:10

原創

801 人瀏覽過

How Can I Properly Escape Single Quotes in PHP to Prevent MySQL Query Errors?

在MySQL 查詢中轉義PHP 中的單引號

理解問題

嘗試使用PHP 將資料插入PHP 時，單引號字元可能會導致存取插入資料的後續查詢出錯。雖然第一個查詢似乎運作正常，但如果資料包含單引號，第二個查詢會導致 MySQL 錯誤。

解決問題

解決方案是使用 mysql_real_escape_string() 函數轉義插入字串中的單引號字元。此函數將單引號替換為轉義對應項 (')，確保它們被解釋為文字字元而不是作為查詢語法的一部分。

差異的原因

兩個查詢行為不同的原因可能是由於 magic_quotes_gpc 配置參數的設定所致。啟用此設定後，從 $_GET、$_POST 和 $_COOKIES 取得的字串會自動轉義，包括單引號。

但是，一旦資料存入資料庫並再次檢索，就不會再被轉義。自動逃脫了。因此，當第二個查詢嘗試存取資料時，遇到未轉義的單引號並觸發錯誤。

已修訂的查詢

要解決此問題，使用轉義兩個查詢中的單引號mysql_real_escape_string():

$result = mysql_query("INSERT INTO job_log
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id)
VALUES
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', mysql_real_escape_string('$booking_name'), mysql_real_escape_string('$address'), mysql_real_escape_string('$suburb'), mysql_real_escape_string('$postcode'), '$state_id', '$region_id', mysql_real_escape_string('$email'), mysql_real_escape_string('$phone'), mysql_real_escape_string('$phone2'), mysql_real_escape_string('$mobile'), STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', mysql_real_escape_string('$special_instructions'), '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')");

登入後複製

$query = mysql_query("INSERT INTO message_log
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', mysql_real_escape_string('$from'), '$row->supplier_id', mysql_real_escape_string('$row->primary_email') ,mysql_real_escape_string('$row->secondary_email'), mysql_real_escape_string('$subject'), mysql_real_escape_string('$message_content'), '1')");

登入後複製

透過轉義單引號，兩個查詢現在都可以正確處理包含單引號的數據，而不會導致MySQL錯誤。

以上是如何在PHP中正確轉義單引號以防止MySQL查詢錯誤？的詳細內容。更多資訊請關注PHP中文網其他相關文章！