撇号不会在MySQL/PHP工作

Question

可能重复：
apostrophes are breaking my mysql query in PHP

我的Android应用程序在发送邮件到我的服务器（PHP脚本） 的PHP脚本编写消息到MySQL。

它工作正常，但所有包含撇号的消息（例如他要去学校）都不会写入数据库。

这里的PHP脚本：

function deq($s) 
{ 
    if($s == null) 
     return null; 
    return 
     get_magic_quotes_gpc() ? 
     stripslashes($s) : $s; 
} 

    if(md5(deq($_REQUEST['blub']).deq($_REQUEST['blub'])."blabla") == $_REQUEST['hash']){ 
    mysql_connect("localhost", "blub", "blub") or die(mysql_error()); 
    mysql_select_db("blub") or die(mysql_error()); 

    // mysql_set_charset('UTF8'); // does not work as too old php 
    mysql_query("SET NAMES 'utf8'"); 
mysql_query("SET CHARACTER SET utf8"); 
mysql_query("SET COLLATION_CONNECTION = 'utf8_unicode_ci'"); 

    $mysqldate = gmdate('Y-m-d H:i:s'); 

    $language = (int) $_REQUEST['language']; 

    $device = $_REQUEST['device']; 

    $ipaddress = $_SERVER['REMOTE_ADDR']; 


    mysql_query("INSERT INTO test(username, text, language, rating, checked, date) 
    VALUES('".$_REQUEST['username']."', '".$_REQUEST['text']."', '".$language."', '0' , 'false', '".$mysqldate."') ") 
    or die(mysql_error()); 

    mysql_close(); 

Answer 1

所有你需要逃避'像下面

$_REQUEST['text'] = mysql_real_escape_string($_REQUEST['text']); 

Answer 2

不要使用魔术引号。 如果您不想使用mysqli，请使用mysqli_real_escape_string或mysql_real_escape_string。

Answer 3

您已发现SQL injections：输入中的撇号“离开”您放入查询中的撇号。这会导致一些输入被视为查询的一部分。在查询中使用它之前，您可以使用mysql_real_escape_string来保护输入。但总的来说，这有更好的解决方案（例如准备好的陈述）。

^{你是，顺便说一下，使用PHP过时mysql_功能（见http://php.net/mysql_query大红色的警告）}

Answer 4

看着上面的描述，你需要使用mysql_real_escape_string功能

逃生用斜杠输入数据

撇号输入数据时，在SQL查询利用将打破SQL查询得到的成SQL注入

所以总是利用到前净化输入数据与mysql_real_escape_string（）函数SQL查询

约mysql_real_escape_string更多的文档（）函数，请参阅以下网址中提到的文档

http://php.net/manual/en/function.mysql-real-escape-string.php