mysql_real_escape_string和单引号

Question

我很沮丧。我希望能够用单引号插入到我的数据库名称中 - 例如，O'Connor。

所以，插入数据库时​​，我做的：

$lname = mysql_real_escape_string($_POST['lname']); 

然后我插入$ LNAME到数据库。

当它在DB中时，它显示为O'Connor。

所以，如果我在我的web应用程序回顾过去的名字，我将不得不使用：

$lname = stripslashes($r["lname"]); 

这一切似乎很好地工作。但是，我有一个搜索功能，它将搜索姓氏并显示结果。当我搜索时，我必须搜索O'Connor以获得任何结果。

在我搜索后，您会看到文本框会自动存储刚才搜索的内容（使用会话）。所以我的代码是这样的：

$search = mysql_real_escape_string($_GET['search']); 
$_SESSION['search'] = $search; 

就像我以前说过，当我搜索，我必须使用“O \'康纳”，然后我搜索后，在文本框中的值变为“澳\\\ 'Connor'

试图弄清楚这一直很令人沮丧。有谁知道我做错了什么？谢谢！

编辑：

这里是我的php5.ini文件，关于魔术引号：

; Magic quotes 
; 

; Magic quotes for incoming GET/POST/Cookie data. 
magic_quotes_gpc = On 

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. 
magic_quotes_runtime = Off 

; Use Sybase-style magic quotes (escape ' with '' instead of \'). 
magic_quotes_sybase = Off 

然而，我的网站托管在GoDaddy的，我没有权限编辑该文件:(

Answer 1

这听起来像Magic Quotes在你的PHP配置中启用。

要检查它是否真正启用：

echo get_magic_quotes_gpc(); 

To disable，编辑php.ini文件：

; Magic quotes 
; 

; Magic quotes for incoming GET/POST/Cookie data. 
magic_quotes_gpc = Off 

; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. 
magic_quotes_runtime = Off 

; Use Sybase-style magic quotes (escape ' with '' instead of \'). 
magic_quotes_sybase = Off 

还是这行添加到您的.htaccess：

php_flag magic_quotes_gpc Off 

Answer 2

您只需要执行搜索查询mysql_real_escape_string就可以了，它应该完全没问题。但是，最好的办法是永远不要存储它，而只是转义它，一切都会进入数据库。

相反，这样做：

 
$_SESSION['search'] = $_GET['search']; 
$search = mysql_real_escape_string($_GET['search']); 

Answer 3

魔术引号已启用。这意味着任何放置在帖子后或者其他类似位置的东西都会自动转义，这样开始的程序员就不用担心它了。如果我没有记错，它在当前版本的PHP中已被弃用。

你想做的事来处理这个问题，并有脚本运行的任何配置相同什么如下：

function fixinput($value){ 
    if (get_magic_quotes_gpc()){ 
     $value = stripslashes($value); 
    } 

    return mysql_real_escape_string($value); 
} 

您可能需要进一步修改这用引号括非数字数据，这是一个常见的变化，但我发现最好手动放置这些引号。

Answer 4

小编辑到fixinput功能检查，如果安装的PHP确实有真正的转义字符串（老版本没有）：

function fixinput($value){ 
    if (get_magic_quotes_gpc()){ 
     $value = stripslashes($value); 
    } 

    if (function_exists('mysql_real_escape_string')) { 
     return mysql_real_escape_string($value); 
    } 
    else { 
     return mysql_escape_string($value); 
    } 
    } 

Answer 5

我不检查get_magic_quotes_gpc是开/关。

我只是做$lname = mysql_real_escape_string(stripslashes($_POST['lname']));所以如果没有任何引用的文本，它不会去掉斜杠..如果有引用它将剥离它们。

它对我来说是奇迹！

Answer 6

当它在DB中时，它显示为O'Connor。

所以，如果我在我的web应用程序回顾过去的名字，我将不得不使用：

$lname = stripslashes($r["lname"]); 

错！当您使用mysql_real_escape_string转义字符串时，它们只会在查询中转义。数据库解释查询，所以数据最终在数据库中没有任何转义字符。当从数据库中提取数据时，您不需要必须使用stripslashes。如果你认为你这样做了，那么这意味着数据库中的数据被破坏了。很可能是因为你开启了魔术引号。

你应该：

• 关闭魔术引号或全球范围内改变其作用。详情请参阅the manual。
• 使用bound parameters（最佳解决方案）或使用mysql_real_escape_string转义所有变量。您应该在构建查询的位置执行此操作。
• 对于从数据库中提取的内容不做任何操作。

特别是，请不要在这里列出一些答案中列出的函数和fixinput。这是解决问题的错误方法，因为它会弄乱任何不是来自http请求的数据。