3

我正在使用以下表单代码:

<form enctype="multipart/form-data" action="process.php" method="POST">
 <input type="text" name="draftTitle"/>
 <textarea name="draftText" class="draftText"></textarea>
 <input type="file" name="uploadfile"/>
 <button class="draftSubmit">Add</button>
</form>

如您所见,表单包含文本和文件的字段。当我在 textarea 中提交带有撇号的表单时,没有提交任何内容。在 process.php 中,我正在剥离斜杠并正确清理 POST 数据,但似乎问题与 from enctype 有关。关于如何防止撇号弄乱语法的任何想法?

更新:这是表单的输出:

-----------------------------276443266232757\r\nContent-Disposition: form-data;
name="MAX_FILE_SIZE"\r\n\r\n4000000\r\n-----------------------------276443266232757\r\nContent-Disposition: form-data;
name="userID"\r\n\r\n2\r\n-----------------------------276443266232757\r\nContent-Disposition: form-data;
name="lineID"\r\n\r\n1\r\n-----------------------------276443266232757\r\nContent-Disposition: form-data;
name="draftTitle"\r\n\r\nThis is my title\r\n-----------------------------276443266232757\r\nContent-Disposition: form-data;
name="uploadfile";
filename=""\r\nContent-Type: application/octet-stream\r\n\r\n\r\n-----------------------------276443266232757\r\nContent-Disposition: form-data;
name="draftText"\r\n\r\nIt's my description with an apostrophe in it.\r\n-----------------------------276443266232757--\r\n

正如您将看到的,还有一些额外的字段。我在上面删除了它们以简化问题。

更新

我正在使用以下代码插入数据库。

$query = "INSERT INTO posts (line_id, user_id, stamp_title, element, type) VALUES ('$line_id', '$user_id', '$stamp_title', '$data', '$type')";
mysql_query($query);

已解决: 我添加了 mysql_real_escape_string 并且它有效。感谢所有帮助过的人!

$data = mysql_real_escape_string($data);
4

2 回答 2

3

如果您的表单提交是:

-----------------------------276443266232757
Content-Disposition: form-data; name="MAX_FILE_SIZE"

4000000
-----------------------------276443266232757
Content-Disposition: form-data; name="userID"

2
-----------------------------276443266232757
Content-Disposition: form-data; name="lineID"

1
-----------------------------276443266232757
Content-Disposition: form-data; name="draftTitle"

This is my title
-----------------------------276443266232757
Content-Disposition: form-data; name="uploadfile"; filename=""
Content-Type: application/octet-stream


-----------------------------276443266232757
Content-Disposition: form-data; name="draftText"

It's my description with an apostrophe in it.
-----------------------------276443266232757--

这很好,你的撇号在那里。

但是,从这里到:

$query = "INSERT INTO posts (line_id, user_id, stamp_title, element, type) VALUES ('$line_id', '$user_id', '$stamp_title', '$data', '$type')";
mysql_query($query);

似乎是问题所在,因为您在 SQL 插入中使用了撇号。您应该在每个输入变量上调用mysqli_real_escape_string()or PDO::quote()(如果您有该扩展名)。

于 2012-09-16T05:15:15.180 回答
1

我的观察是,这不是 PHP 的问题,而是您用于将值放入数据库或文件的其余代码。请也发布该代码。

我假设您正在向 MySql 数据库插入值。为了帮助它,您可以在插入之前尝试使用 Mysql_real_escape_string函数为 mysql 准备它。

于 2012-09-16T04:53:48.620 回答