如何在數據庫中插入特殊字符？

Question

誰能告訴我如何在MySQL數據庫中插入特殊字符？我已經創建了一個PHP腳本，旨在將一些單詞插入到數據庫中，但如果該單詞包含'則它不會被插入。

使用PHPmyAdmin時，我可以插入特殊字符，但只是在通過PHP插入時不起作用。難道是PHP正在將特殊字符變成別的東西嗎？如果是這樣，有沒有辦法讓它們正確插入？

Answer 1

$insert_data = mysql_real_escape_string($input_data); 

假如你已經被存儲爲$input_data

Answer 2

你逃跑了嗎？嘗試mysql_real_escape_string（）函數，它將處理特殊字符。

Answer 3

數據可能是 「mysql_real_escape_string()」 將努力爲ü

Answer 4

你最有可能逃跑的SQL字符串，類似於：

SELECT * FROM `table` WHERE `column` = 'Here's a syntax error!' 

您需要轉義報價，如下所示：

SELECT * FROM `table` WHERE `column` = 'Here\'s a syntax error!' 

mysql_real_escape_string()爲您處理。

Answer 5

使用mysql_real_escape_string

那麼，是什麼mysql_real_escape_string嗎？

此PHP庫函數將反斜槓預置爲以下字符：\ n，\ r，\，\ x00，\ x1a，'和「。重要的部分是單引號和雙引號是逃脫的，因爲這些是最有可能打開漏洞的角色。

請告訴您關於sql_injection的信息。你可以用這個link作爲開始

Answer 6

你是直接將它們粘貼到查詢中。 Istead你應該「逃避」他們，使用appriopriate函數 - mysql_real_escape_string，mysqli_real_escape_string或PDO::quote取決於您使用的擴展名。

Answer 7

注意，正如其他人指出，mysql_real_escape_string（）會解決這個問題（如將和addslashes），但是你應該總是使用mysql_real_escape_string（）出於安全考慮 - 考慮：

SELECT * FROM valid_users WHERE username='$user' AND password='$password' 

如果什麼瀏覽器發送

user="admin' OR (user=''" 
password="') AND ''='" 

查詢變爲：

SELECT * FROM valid_users 
WHERE username='admin' OR (user='' AND password='') AND ''='' 

即安全檢查完全被繞過。

C.

Answer 8

$var = mysql_real_escape_string("data & the base"); 
$result = mysql_query('SELECT * FROM php_bugs WHERE php_bugs_category like "%' .$var.'%"'); 

Answer 9

使用此：htmlentities($_POST['field']);

只夠。這對特殊字符：

使用CI htmlentities($this->input->post('control_name'));