這個查詢是過度逃脫的！需要一個簡單的想法

Question

所以我創建了一個簡單的PHP函數，通過更新PHP接收的數組來更新我的MySQL行。

function db_updateproduct(array $new, array $old = array()) { 
    $diff = array_diff($new, $old); 
    return 'INSERT INTO table (`'.mysql_real_escape_string(implode(array_keys($diff), '`,`')).'`) VALUES \''.mysql_real_escape_string(implode(array_values($diff), '\',\'')).'\''; 
} 

...

更新（與接受的答案）

function db_updateproduct(array $new, array $old = array()) { 
    $diff = array_diff($new, $old); 
    return 'INSERT INTO `Product` (`'.implode(array_keys($diff), '`,`').'`) VALUES (\'' 
     .implode(array_map('mysql_real_escape_string', array_values($diff)), '\', \'').'\')'; 
} 

現在...

echo db_updateproduct(array('a' => 'on\'e', 'b' => 'two', 'c' => 'three')); 

回報：

INSERT INTO `Product` (`a`,`b`,`c`) VALUES ('on\'e', 'two', 'three') 

（如預期/希望！）

Answer 1

您可以run the escape function上的按鍵和值array_map()：

$ escaped_keys = array_map（ 'mysql_real_escape_string'，array_keys（$ DIFF）） ;

$escaped_values = array_map('mysql_real_escape_string', array_values($diff)); 

然後你就可以做這兩個數組，你implode()法寶。

---

UPDATE：作爲@YourCommonSense正確地指出了這一點，它並沒有真正意義上，這將在查詢的字段名/表名/等一起使用的值運行 mysql_real_escape_string()。它正確地逃脫 \x00， \n， \r， \， '， "和 \x1a，但它 不逃避反引號，所以查詢仍容易受到攻擊。

您應驗證字段名稱（因此只能使用預期的名稱），或者甚至更好，使用準備好的查詢（我推薦使用PDO）。

推薦閱讀：

• Are mysql_real_escape_string() and mysql_escape_string() sufficient for app security?

Answer 2

作爲事實上，做mysql_real_escape_string在陣列的鍵是絕對無用的動作的一個例子。