如何防止PHP字符串中单引号引起的MySQL错误？

使用 PHP 在 MySQL 中转义单引号

考虑以下场景，其中使用两个 SQL 语句来操作数据。第一条语句将表单中的信息插入数据库，而第二条语句从数据库检索数据、发送电子邮件并记录事务详细信息。

问题识别

当第二条语句由于名称字段中的单引号（例如“O'Brien”）而遇到错误时，就会出现问题。虽然第一个语句在没有转义该字符的情况下可以正常运行，但第二个语句会触发 MySQL 错误。这种差异可能会导致混乱。

根本原因

为了解决这个问题，重要的是要认识到 PHP 中的字符串在插入 MySQL 查询之前应该进行转义。 PHP 提供了 mysql_real_escape_string() 函数，可以有效地转义这些字符串，确保正确插入和防止错误。

魔术引号的影响

两个 SQL 之间的不同行为语句可归因于 PHP 的 magic_quotes_gpc 功能的潜在激活。此功能会自动转义从表单提交中获取的字符串（例如 $_POST），因此字符串“O'Brien”会转换为“O'Brien”。

当存储数据并随后检索数据时，数据库不执行任何自动转义。因此，检索到的字符串“O'Brien”包含未转义的单引号，因此在查询中使用时需要使用 mysql_real_escape_string() 进行适当的转义以防止错误。

转义注意事项

对 SQL 语句中使用的每个字符串进行转义至关重要，如以下修订版所示例如：

$query = mysql_query("INSERT INTO message_log
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', '$row->supplier_id', '$row->primary_email' ,'$row->secondary_email', '$subject', '".mysql_real_escape_string($message_content)."', '1')");

通过一致应用这种转义机制，开发人员可以有效防止字符串中意外单引号引起的 MySQL 错误。

以上是如何防止PHP字符串中单引号引起的MySQL错误？的详细内容。更多信息请关注PHP中文网其他相关文章！