0

如果我输入

'

在我的搜索栏中,我收到一个 mysql 错误,因为“刺痛”没有被转义——它认为。

但我无法逃脱它的原因是因为我认为它目前不是一个字符串。

搜索框使用 ajax 动态生成搜索结果,就像我键入时一样,它会找到我收到错误的结果:

    You have an error in your SQL syntax; check the manual that corresponds to
your MySQL server version for the right syntax to use near '%' OR Location
LIKE '%'%' OR Map LIKE '%'%' LIMIT 0, 16' at line 2

这是mysql查询:

<?php 
    if($_POST['q']!=""){
  include $_SERVER['DOCUMENT_ROOT'] . "/include/datebasecon.php";
        $result = mysql_query("
          SELECT id, Name, Location,  Map
          FROM Accommodation WHERE Name LIKE '%".$_POST['q']."%' OR Location LIKE '%".$_POST['q']."%' OR Map LIKE '%".$_POST['q']."%' LIMIT 0, 16") 
        or die(mysql_error());
        $output = "";
        while($row = mysql_fetch_array($result)){
            $N = preg_replace("/(".$_POST['q'].")/i","<span>$1</span>",$row['Name']);
            $L = preg_replace("/(".$_POST['q'].")/i","<span>$1</span>",$row['Location']);
            $M = preg_replace("/(".$_POST['q'].")/i","<span>$1</span>",$row['Map']);
            $output .= "<p>".$N." - ".$L."</p>";    
        }

        print $output;

    }
?>

无论如何我可以在发布查询后解决这个问题吗?

4

3 回答 3

3

何时magic_quotes_gpc关闭(应该如此!),$_POST['q']只是 string ',只是一个字符。这就是为什么它会出现在您的 SQL 代码中,如下所示:

%' OR Location LIKE '%'%' OR Map LIKE '%'%' LIMIT 0, 16

'%'%'由于LIKE字符串被过早终止,因此发生错误。

你可以使用mysql_real_escape_string()on $_POST['q'],它会被转义:

$q = mysql_real_escape_string($_POST['q']);
$result = mysql_query("
  SELECT id, Name, Location,  Map
  FROM Accommodation WHERE Name LIKE '%".$q."%' OR Location LIKE '%".$q."%' OR Map LIKE '%".$q."%' LIMIT 0, 16") 
or die(mysql_error());
于 2010-09-25T13:37:41.373 回答
1

你写了“我不认为它目前是一个字符串”......它是一个字符串。您可以将其传递给mysql_real_escape_string()并使用结果来使您的查询安全可靠。您的脚本通过 、 和 params 接收到的所有内容都$_POST可以$_GET用作$_REQUEST字符串$_COOKIE,但它是一个数组。

于 2010-09-25T13:43:32.643 回答
1

让你明白。
查看您的查询:

LIKE '%search string%'

注意您用来分隔搜索字符串的撇号。
这些撇号确实意味着里面的数据一个字符串。您在查询中加上引号的
所有内容都是一个字符串。您在查询中加上引号的
所有内容都必须转义。
无需思考、考虑或估计。规则简单明了:引用的文本应该总是被转义。

于 2010-09-25T13:49:43.533 回答