PHP Lang
  1. PHP Lang
  3. Почему строка с одинарными кавычками вызывает ошибку при вставке в БД?
Intereting Posts
Почему это создает черное изображение? как узнать, какой конкретный процесс все еще работает в PHP Экспресс-сессия с экспресс-mysql-сеансом вообще не работает Ошибка IE10 / 11 Ajax XHR – SCRIPT7002: XMLHttpRequest: ошибка сети 0x2ef3 PHP-объект, подобный массиву Как я могу обмениваться данными с другого контроллера в виде laravel? Можно ли использовать mod_rewrite htaccess для перезаписи URL-адреса от имени к id. нарезать большой файл на куски и загрузить с помощью ajax и html5 FileReader force target = "_ self" в динамическом extrnal cross domain в iframe Команды Mysqli не синхронизированы Библиотека PHP для openID Добавление элементов в массив в массиве с php? Как автоматически читать в вычисленных значениях с помощью PHPExcel? вывод php-запроса сохранить как текстовый файл Laravel 4.2 Правила проверки – текущий пароль должен соответствовать значению базы данных

Почему строка с одинарными кавычками вызывает ошибку при вставке в БД?

Мой вопрос: как вы разрешаете одиночные кавычки в строках?

Например, у меня есть форма и текстовое поле. Он настроен так, чтобы пользователь мог ввести свое имя. Оттуда он отправляет и передает данные в базу данных.

Мне нужно иметь возможность разрешать одинарные кавычки (апостроф), поскольку имена некоторых людей имеют апостроф в их именах, например «O'Reilly».

Какие-либо предложения?

Одиночные кавычки никоим образом не запрещены. Я просто предполагаю, что вы получили ошибку, вставив ее в базу данных. Вероятно, это связано с отсутствием mysql_real_escape_string() для входных значений.

Вы получите ошибку SQL, если вы попробуете INSERT ... ('O'Reilly') что является целым рядом функций экранирования SQL.

(Вот почему magic_quotes изначально были введены: чтобы заставить SQL работать из коробки для новичков. – Не делать этого особенно безопасным.)

Используйте функцию mysql_real_escape_string () для любого текста, который вы вставляете в свою базу данных. Вы можете получить сообщение об ошибке в своем скрипте, если вы отправляете данные непосредственно в свою базу данных, потому что то, что вы на самом деле делаете, заканчивается цитатой MySQL.

Это также является необходимостью безопасности, что вы избегаете своих данных. Что-то вроде следующего: 

 $q = "INSERT INTO `table` (`body`) VALUES ('".mysql_real_escape_string($_POST['body'])."')";

Если я правильно читаю ваш вопрос, вы закодировали ошибку SQL Injection в своей программе, позволяя слегка злонамеренным людям и вирусам читать и писать вашу базу данных. (Представьте, что кто-то печатает на машинке ';drop table users; в поле … прощайте данные.)

Самый простой способ борьбы с атаками SQL Injection – написать ваши SQL-запросы с помощью подготовленных операторов , которые просят библиотеки баз данных безопасно обрабатывать входные данные: 

 <?php $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)"); $stmt->bindParam(':name', $name); $stmt->bindParam(':value', $value); // insert one row $name = 'one'; $value = 1; $stmt->execute(); // insert another row with different values $name = 'two'; $value = 2; $stmt->execute(); ?> 
  USe like:- insert into question(question,points,choice1,choice2, choice3,choice4,choice3_correct,tags,error_status, base_or_derived,language) values('".mysql_real_escape_string($result4)."', '".$points."','".$ans1."','".$ans2."', '".$correct_ans."','".$ans3."','1','".$tags."', '".$error."','D','".$language."')