如何在PHP中正确转义单引号以防止MySQL查询错误？

在 MySQL 查询中转义 PHP 中的单引号

理解问题

尝试使用 PHP 将数据插入 MySQL 时，单引号字符可能会导致访问插入数据的后续查询出错。虽然第一个查询似乎工作正常，但如果数据包含单引号，第二个查询会导致 MySQL 错误。

解决问题

解决方案是使用 mysql_real_escape_string() 函数转义插入字符串中的单引号字符。此函数将单引号替换为转义对应项 (')，确保它们被解释为文字字符而不是作为查询语法的一部分。

差异的原因

两个查询行为不同的原因可能是由于 magic_quotes_gpc 配置参数的设置所致。启用此设置后，从 $_GET、$_POST 和 $_COOKIES 获取的字符串会自动转义，包括单引号。

但是，一旦数据存入数据库并再次检索，就不会再被转义。自动逃脱了。因此，当第二个查询尝试访问数据时，遇到未转义的单引号并触发错误。

修订的查询

要解决此问题，使用转义两个查询中的单引号mysql_real_escape_string():

$result = mysql_query("INSERT INTO job_log
(order_id, supplier_id, category_id, service_id, qty_ordered, customer_id, user_id, salesperson_ref, booking_ref, booking_name, address, suburb, postcode, state_id, region_id, email, phone, phone2, mobile, delivery_date, stock_taken, special_instructions, cost_price, cost_price_gst, sell_price, sell_price_gst, ext_sell_price, retail_customer, created, modified, log_status_id)
VALUES
('$order_id', '$supplier_id', '$category_id', '{$value['id']}', '{$value['qty']}', '$customer_id', '$user_id', '$salesperson_ref', '$booking_ref', mysql_real_escape_string('$booking_name'), mysql_real_escape_string('$address'), mysql_real_escape_string('$suburb'), mysql_real_escape_string('$postcode'), '$state_id', '$region_id', mysql_real_escape_string('$email'), mysql_real_escape_string('$phone'), mysql_real_escape_string('$phone2'), mysql_real_escape_string('$mobile'), STR_TO_DATE('$delivery_date', '%d/%m/%Y'), '$stock_taken', mysql_real_escape_string('$special_instructions'), '$cost_price', '$cost_price_gst', '$sell_price', '$sell_price_gst', '$ext_sell_price', '$retail_customer', '".date('Y-m-d H:i:s', time())."', '".date('Y-m-d H:i:s', time())."', '1')");

$query = mysql_query("INSERT INTO message_log
(order_id, timestamp, message_type, email_from, supplier_id, primary_contact, secondary_contact, subject, message_content, status)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', mysql_real_escape_string('$from'), '$row->supplier_id', mysql_real_escape_string('$row->primary_email') ,mysql_real_escape_string('$row->secondary_email'), mysql_real_escape_string('$subject'), mysql_real_escape_string('$message_content'), '1')");

通过转义单引号，两个查询现在都可以正确处理包含单引号的数据，而不会导致 MySQL 错误。

以上是如何在PHP中正确转义单引号以防止MySQL查询错误？的详细内容。更多信息请关注PHP中文网其他相关文章！