使用 PHP 時如何安全地轉義 SQL Server 中的字串？

使用PHP 在SQL Server 中安全轉義字串

使用PHP 與SQL Server 互動時，確保正確轉義任何使用者提供的資料至關重要，從而防止SQL注入攻擊。雖然 mysql_real_escape_string() 通常用於 MySQL，但它不適用於 SQL Server。

轉義字串的替代方法：mssql_escape()

與 MySQL 不同，SQL Server 不提供專用函式字串轉義。但是，您可以建立自己的函數：

function mssql_escape($data) {
    if (is_numeric($data)) {
        return $data;
    }
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

$escaped_value = mssql_escape($user_input);

此函數將資料編碼為十六進位位元組字串，確保轉義任何特殊字元。

mysql_error() 的替代方法：mssql_get_last_message( )

要從SQL Server 檢索錯誤訊息，請使用mssql_get_last_message():

$error_message = mssql_get_last_message();

此函數檢索查詢執行產生的最後一條錯誤訊息。

用法範例

組合這些函數，您可以安全地插入使用者輸入 SQL Server 表：

以上是使用 PHP 時如何安全地轉義 SQL Server 中的字串？的詳細內容。更多資訊請關注PHP中文網其他相關文章！