在 PHP 中转义单引号以进行 MySQL 插入
使用 PHP 将数据插入 MySQL 数据库时,转义任何单引号至关重要(') 位于数据中以防止意外行为。在 MySQL 语句中使用单引号并在第二次插入尝试中遇到错误时,会出现一个常见问题。
查询 1
第一个查询,它从表单写入 job_log 表中,可以正常工作,因为 booking_name 字段中的单引号未显式转义。但是,这不是推荐的做法。
$result = mysql_query("INSERT INTO job_log
(order_id, ...)
VALUES
('$order_id', '$supplier_id', ..., '$booking_name', '$address', ...)");查询 2
第二个查询(将数据库中的数据插入到 message_log 表中)在以下情况下失败: Primary_contact 字段包含单引号。这是因为 row->primary_email 字符串中的单引号会触发 MySQL 语法错误。
$query = mysql_query("INSERT INTO message_log
(order_id, ...)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', ..., '$row->primary_email' ,..., '$message_content', '1')");使用 mysql_real_escape_string 的转义解决方案
要解决此问题,正确转义插入数据库的字符串值中的任何单引号至关重要。这可以使用 mysql_real_escape_string() 函数来实现,该函数对字符串进行转义以符合 MySQL 语法。
$esc_primary_email = mysql_real_escape_string($row->primary_email);
$query = mysql_query("INSERT INTO message_log
(order_id, ...)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', ..., '$esc_primary_email' ,..., '$message_content', '1')");通过使用 mysql_real_escape_string() 转义单引号,查询将成功执行而不会遇到错误,从而确保将数据正确插入数据库。
以上是如何使用 PHP 安全地将单引号插入 MySQL 数据库?的详细内容。更多信息请关注PHP中文网其他相关文章!
