问题标签 [mysql-real-escape-string]

我真的很困惑，有人可以向我解释一下吗？

要求： http://example.com/test.php?var=String's

结果：

有人可以向我解释为什么我的 GET 变量会像这样被转换，而且我可以如何删除这种行为以使我的输入与发送时完全相同？我遇到了一个问题，我的 SQL 包装器通过 mysql_real_escape_string() 传递它并最终成为String\\\'s:(

我正在尝试做一件事，而且只做一件事。

现在如果我写...

我得到...

没什么...

想法？

编辑：

好的，所以我的意图不仅仅是打印 $embedCode，而是将它插入数据库，但我得到一个空值。我想我会是个聪明人，但在这里我的简单化方法适得其反。无论如何，重点是，它没有通过我的 mysql 查询。

编辑 2：我正在使用 wordpress 的 $wpdb 对象

并得到结果：

如何将 mysql_real_escape_string() 添加到 this:::

尝试使用 mysql_real_escape() 函数时出现以下错误

Fatal error: Call to undefined function mysql_real_escape() in /var/www/registration/index.php on line 169.

怎么了？？？

我对某事感到非常困惑，想知道是否有人可以解释。

在 PHP 中，我验证了用户输入，因此 htmlentitiies，mysql_real_escape_string 在插入数据库之前使用，而不是在所有内容上，因为我更喜欢使用正则表达式，尽管我发现它们很难使用。现在显然我将使用 mysql_real_escape_string 作为数据进入数据库，但不确定我是否应该仅在从数据库获取数据并将其显示在网页上时才使用 htmlentities()，因为这样做之前会改变一个人输入的数据没有保留它的原始形式，如果我以后想将该数据用于其他用途，这可能会导致问题。

例如，我有一个包含 3 个字段名称、主题和消息的留言簿。现在显然这些字段可以包含任何东西，比如 js 标签中的恶意代码基本上任何东西，现在让我感到困惑的是，假设我是一个恶意的人，我决定使用 js 标签和一些恶意 js 代码并提交表单，现在基本上我有恶意我的数据库中的无用数据。现在通过在将恶意代码输出到网页（留言簿）时使用 htmlentities 这不是问题，因为 htmlentities 已将其转换为安全的等价物，但同时我在数据库中有我宁愿没有的无用恶意代码。

因此，在说了所有这些之后，我的问题是我是否应该接受数据库中的某些数据可能是恶意的、无用的数据的事实，并且只要我在输出上使用 htmlentities 一切都会好起来的，还是我应该做其他事情呢？

我读了很多书，说在接收数据时过滤数据并在输出数据时对其进行转义，以便保留原始表单，但他们只给出示例，例如确保字段只是使用 php 等内置函数的 int，但我从未找到关于确保您希望用户键入他们想要的任何内容的留言簿之类的任何内容，以及如何将这些数据与 mysql_real_escape_string() 分开以确保它不会破坏数据库查询？

有人可以最终为我解决这个困惑并告诉我我应该做什么以及最佳实践是什么？

感谢任何可以解释的人。

干杯!

最近从 PHP 开始使用 MySQL，我想知道这个：

• mysql_real_escape_string()在脚本中多次使用对性能有何影响？
• 是否值得尝试减少给定脚本对该函数的调用次数？
• 是确定每次调用连接的字符集，还是缓存这个值？

如果需要一个场景，我正在考虑 PHP，以及文本和数字之间的区别，其中数字（使用intval()或floatval()直接转换）可以在没有调用的情况下包含在内。

所以这是我们都应该知道的，当我第一次看到它时，它就在我脑海中浮现。

我知道这mysql_escape_string已从 5.3 中弃用，但mysql_real_escape_string.

我认为这与除了为 mysql 资源提供第二个参数外mysql_real_escape_string完全相同。mysql_escape_stringmysql_real_escape_string

因此，我很直截了当地认为，字符串的处理方式必须有所不同，因为不需要 2 个函数。

所以我认为差异完全取决于语言环境和字符编码。?

谁能帮我解决这个问题？

如果我输入

'

在我的搜索栏中，我收到一个 mysql 错误，因为“刺痛”没有被转义——它认为。

但我无法逃脱它的原因是因为我认为它目前不是一个字符串。

搜索框使用 ajax 动态生成搜索结果，就像我键入时一样，它会找到我收到错误的结果：

这是mysql查询：

无论如何我可以在发布查询后解决这个问题吗？

所以，我在使用 mysql_real_escape_string 时收到了这个警告

该网站的其余部分工作正常，连接到数据库和所有，但使用此功能时出现错误。

它在我的本地主机测试服务器上运行良好。

有任何想法吗？

我在自己的自制字符串清理功能中使用了上述功能：

每次查询时我都会使用此功能...

预先感谢！

这里遇到了一个奇怪的情况。在我的本地 mysql 数据库（v5.1.41）上，如果我要毫无问题地处理用户的引用语法，我需要使用这个转义命令。但是我不能在我的 web 服务器的 mysql 数据库（v5.0.91-community）上使用这个命令。如果在 Web 服务器（apache v2.2.13）上使用此命令，则会在用户的引号语法中添加一个额外的斜杠语法，因此如果我删除 mysql_real_escape_string 命令，带引号的输入将不会有问题插入到数据库中。

所以我想知道，除了php，apache（v2.2.13）或mysql本身是否有一个设置可以自动处理引号语法，如PHP的mysql_real_escape_string命令？

先感谢您