问题标签 [mysql-escape-string]

我正在为我的朋友建立一个简洁的网站，我注意到该网站自动转义了来自文本框、文本区域等的输入。

这是否意味着当我想在我的 mysql 数据库中插入数据时我不必添加mysql_real_escape_string，我可以保持原样？

或者这是一个潜在的安全风险？

我对这条线有疑问：

当我只使用双引号时，它给了我这个错误：“数据库查询失败：您的 SQL 语法有错误；请查看与您的 MySQL 服务器版本相对应的手册，以获取正确的语法，以便在 'LIMIT 1' 行附近使用1"

那么在双引号内使用单引号有什么用呢？

How to secure decimal? In Mysql I have type=Decimal value=6,2. Thank you in advance for your help

or

我有一张我想在其中匹配的fname表lname

我的查询是

问题是如果我写Joh'nny,的名字'不匹配，我该如何解决？

我有一个查询，我想在其中匹配 fname 和 lname

如果我有一个名字 John'y，那么它不会产生任何结果，它不会返回任何行，我会回显查询，如果我运行相同的查询，我会在我的 sql 中得到结果。

输出变成这样

它在mysql中返回行。我关闭了魔术引号，我认为这是一个非常简单的问题，但它浪费了我很多时间。

我错过了什么吗？

使用 Python 的三引号字符串，我可以定义包含'、反引号的字符串，或者"不必关心它：

在 PHP 中，我可以使用heredoc ( <<<)：

我怎样才能在 MySQL 中做同样的事情？现在我必须确保我转义了我用来分隔的字符，例如，如果我'用作分隔符，我必须\'在我的字符串中使用：

我希望能够像

我目前遇到这个问题，我使用 mysqlescapestring 将数据插入到我的数据库中，并且在检索数据时包含许多冗余 / 字符。有没有办法扭转这种情况？

这是我的代码

和转义字符串定义：

内容：

从数据库中检索并显示的内容：

我一直在阅读其他 stackoverflow 问题，大多数人声称这不应该发生，是否有解决方法？

我的查询是这样的，

它抛出错误说Syntax error or access violation: 1064。我正在使用 cakePHP。我尝试使用

我什至也试过mysql_real_escape_string()。

我的专栏名称是close_%

但它仍然没有奏效。如何在使用 CakePHP 的查询中绕过带有 % 符号的列名？

我mysql_real_escape_string()用来逃避登录1' or '1' = '1，但是，当我逃避它时，我无法登录 - 它会触发“请输入有效的用户名和密码”的错误。如果我删除该函数并仅使用trim()它可以正常工作，但它显然不会逃脱 SQL 注入。

我也试过在这样的查询过程中转义，但仍然不起作用。

我已经尝试过mysqli_real_escape_string()，但这会导致数据库错误，所以我使用的是 MySQL。

知道我接下来可以尝试什么吗？谢谢

我有一个标准的 html 表单：

提交后，将使用以下 PHP 通过电子邮件发送：

这可以很好地发送电子邮件，但原始消息中的任何新行都会打印为“\r\n”。

例如，用户在表单中输入以下内容：

这个

是

一个

测试。

但是电子邮件中传递的是：

这个\r\n\r\nis\r\n\r\na\r\n\r\n测试。

我曾尝试nl2br在 PHP 代码中的多个位置使用，但没有任何效果。电子邮件以纯文本形式发送，因此<br>无论如何都无法正常工作。我想暂时保留mysql_escape_string，但还要保留原始消息中的回车。