使用 PHP 与 SQL Server 交互时,确保正确转义任何用户提供的数据至关重要,从而防止 SQL注入攻击。虽然 mysql_real_escape_string() 通常用于 MySQL,但它不适用于 SQL Server。
与 MySQL 不同,SQL Server 不提供专用函数字符串转义。但是,您可以创建自己的函数:
function mssql_escape($data) {
if (is_numeric($data)) {
return $data;
}
$unpacked = unpack('H*hex', $data);
return '0x' . $unpacked['hex'];
}
$escaped_value = mssql_escape($user_input);此函数将数据编码为十六进制字节字符串,确保转义任何特殊字符。
要从 SQL Server 检索错误消息,请使用mssql_get_last_message():
$error_message = mssql_get_last_message();
此函数检索 SQL Server 查询执行生成的最后一条错误消息。
组合这些函数,您可以安全地插入用户输入 SQL Server 表:
$connection = mssql_connect(...);
$query = 'INSERT INTO sometable (somecolumn) VALUES (' . mssql_escape($user_input) . ')';
$result = mssql_query($query, $connection);
if (!$result) {
$error_message = mssql_get_last_message(); // Retrieve error message
}以上是使用 PHP 时如何安全地转义 SQL Server 中的字符串?的详细内容。更多信息请关注PHP中文网其他相关文章!
