如何使用 PHP 安全地将单引号插入 MySQL 数据库？

在 PHP 中转义单引号以进行 MySQL 插入

使用 PHP 将数据插入 MySQL 数据库时，转义任何单引号至关重要(') 位于数据中以防止意外行为。在 MySQL 语句中使用单引号并在第二次插入尝试中遇到错误时，会出现一个常见问题。

查询 1

第一个查询，它从表单写入 job_log 表中，可以正常工作，因为 booking_name 字段中的单引号未显式转义。但是，这不是推荐的做法。

$result = mysql_query("INSERT INTO job_log
(order_id, ...)
VALUES
('$order_id', '$supplier_id', ..., '$booking_name', '$address', ...)");

查询 2

第二个查询（将数据库中的数据插入到 message_log 表中）在以下情况下失败： Primary_contact 字段包含单引号。这是因为 row->primary_email 字符串中的单引号会触发 MySQL 语法错误。

$query = mysql_query("INSERT INTO message_log
(order_id, ...)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', ..., '$row->primary_email' ,..., '$message_content', '1')");

使用 mysql_real_escape_string 的转义解决方案

要解决此问题，正确转义插入数据库的字符串值中的任何单引号至关重要。这可以使用 mysql_real_escape_string() 函数来实现，该函数对字符串进行转义以符合 MySQL 语法。

$esc_primary_email = mysql_real_escape_string($row->primary_email);

$query = mysql_query("INSERT INTO message_log
(order_id, ...)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', ..., '$esc_primary_email' ,..., '$message_content', '1')");

通过使用 mysql_real_escape_string() 转义单引号，查询将成功执行而不会遇到错误，从而确保将数据正确插入数据库。

以上是如何使用 PHP 安全地将单引号插入 MySQL 数据库？的详细内容。更多信息请关注PHP中文网其他相关文章！