问题标签 [addslashes]

我见过几十个这样的 PHP 片段：

如果我打电话会DB_Quote("the (\\) character is cool");怎样？（感谢jspcal！）

难道我们不应该只在值来自get_magic_quotes_gpc() == true 或超全局时才去除斜线吗？$_GET$_POST$_COOKIE

我对在 mysql 中的搜索有一些问题。以下是我的查询。

当我执行此查询时，它将返回零数据。

实际上我有“管理员”存储在数据库中。这个“\”是为了防止sql注入。我曾经用来mysql_real_escape_string防止sql注入。

但是当我对我的变量使用三倍的 addlashes 时，它可以工作。

所以我下面的查询正在工作。

我上面的查询将返回名称如管理员的数据。

我没有得到我错的地方。

我一直在阅读有关保护 PHP 应用程序的内容，在我看来，这mysqli_real_escape_string是在将数据插入 MySQL 表时使用的正确函数，因为addslashes可能会导致聪明的攻击者发生一些奇怪的事情。对？

然而，有一件事让我感到困惑。我似乎记得被建议addslashes比htmlentities将用户输入的数据回显给用户以保护他们的数据要好，但似乎addslashes是有漏洞的那个。这是真的，还是我记错了？

我在将 JSON 插入数据库时​​遇到问题，我的意图是获取变量，对它们进行 json_encode，删除斜杠（来自 magic_quotes），然后添加斜杠以转义 {"key":"value"} 中的引号

不幸的是，编码字符串上的 strip_slashes 没有做任何事情，并输出这个

然后我尝试了addlashes和mysql_real_escape_string，两者都输出

我不明白为什么要添加两个斜杠？我正在为此撕扯我的头发，每次我尝试使用stripslashes时都会留下一个，添加斜线会增加两个。任何帮助将不胜感激！

html表单代码-

当我提交表单时，我会调用以下脚本-

错误-

警告：addslashes() 期望参数 1 是字符串，数组在第 53 行的 C:\xampp\htdocs\shizin\products\library\config.php 中给出

我认为这个脚本只是用来修剪输入，但我不知道这个 addlash 函数的作用以及为什么会出现这个错误。

我一直在尝试编写一个函数，该函数将获取任何给定表单提交的 POST 值，将它们弹出到数组中，使用修剪循环遍历数组，addlashes 等将该值传递回一个变量，然后它可以是传递到数据库。

现在我遇到的障碍是在提交表单时将所有输入、文本区域、选择元素数据放入一个数组中。我遵循的代码

正如您所看到的，这里一切都很好，尽管 POST 值名称仍在静态输入，我需要的是一种将 POST 数据输入循环的方法，该循环使用增量变量动态调用 POST 名称，然后弹出所有这些数据到同一个数组中。我尝试过的代码如下。

现在我知道这行不通，但我能感觉到我比较接近，所以我想知道是否有聪明的人可以帮助我整理最后一部分？很遗憾，我现在要睡觉了，至少 9 个小时都不会看这篇文章，抱歉。

提前致谢。

担。

这一直在疯狂，但我似乎无法找到答案。我们运行一个技术知识库，其中有时会包含用于映射到网络驱动器的 Windows samba 路径。

例如：\\servername\sharename

当我们包含有两个反斜杠的路径时，它们在运行“addslashes”时不会正确转义。我的预期结果是“ \\\\servername\\sharename”，但它返回“ \\servername\\sharename”。显然，稍后运行“stripslashes”时，双反斜杠前缀只是一个斜杠。我也尝试过使用 astr_replace("\\", "\", $variable);但是它"\servername\sharename"会在我期望的时候返回"\\servername\sharename"。

因此，使用addslashes，它会忽略第一组双反斜杠，而使用str_replace，它将双反斜杠更改为单个编码的反斜杠。

我们需要运行addslashes 和stripslashes 来插入数据库；使用 pg_escape_string 在我们的特定情况下不起作用。

这是在 Apache 上的 PHP 5.3.1 上运行的。

编辑：示例代码
$variable = 'In the box labeled Folder type: \\servername\sharename';
echo addslashes($variable);
这将返回：In the box labeled Folder type: \\servername\\sharename

编辑：示例代码 #2
$variable = 'In the box labeled Folder type: \\servername\sharename';
echo str_replace('\\', '\', $variable);
这将返回：In the box labeled Folder type: \servername\sharename

我还想声明，使用单引号或双引号不会给我不同的结果（如您所料）。使用其中一个或两个都给我相同的确切结果。

有人对我能做什么有任何建议吗？

可能重复：
mysql_real_escape_string VS 添加斜杠

如果他们不完全一样，有什么区别？MySQL 查询中值的分隔符'不是吗？或者，"但是也可以通过添加斜杠进行转义。

在我理解的其他数据库引擎中（肯定是在像 PDO 这样的数据库包装器中），但为什么这么多人如此坚持使用 mysql(i)_escape_string 而不是添加斜杠？

尝试查询 MySQL 数据库时，如何在 PHP 中转义引号？

在不增加addslashes每个值的情况下：

从 Django 模板中，我想从文件中包含一个 html 片段，比如mysnippet.html：

进入一个javascript变量：

问题是需要转义新行。否则，Javascript 会抱怨“未终止的字符串文字”。

我知道可以添加斜杠，{{x|addslashes}}但我不知道如何为{% include %}标签添加斜杠。