我在阅读$ _SESSION [‘username’]进入SQL查询之前是否需要转义?它说:“无论源如何,都需要对传递给sql查询的每个字符串进行转义”。现在我知道类似这样的事情是非常基本的。Google搜索显示超过20,000个结果。仅Stackoverflow就有20页的结果,但是没有人实际解释转义字符串是什么或如何转义。只是假设。你能帮助我吗?我想学习,因为我一如既往地使用PHP制作网络应用。
我看过: 插入转义字符,Java中所有的转义字符是什么?,不能 使用addcslashes()转义字符串, 转义字符, mysql_real_escape_string()的作用是什么?, 如何在php的字符串中转义双引号?, MySQL_real_escape_string不添加斜杠?, 我可以继续从php中的字符串中删除转义序列,但是我确定你明白了。这不是懒惰。
转义字符串意味着减少该字符串中使用的引号(和其他字符)的歧义。例如,定义字符串时,通常将其用双引号或单引号引起来:
"Hello World."
但是,如果我的字符串中包含双引号怎么办?
"Hello "World.""
现在我有歧义-解释器不知道我的字符串在哪里结束。如果要保留双引号,则有两种选择。我可以在字符串周围使用单引号:
'Hello "World."'
或者,我可以避免引用:
"Hello \"World.\""
任何以斜杠开头的引号均会 转义 ,并应理解为字符串值的一部分。
当涉及查询时,MySQL会监视某些关键字,这些关键字我们不能在查询中使用而不会引起混淆。假设我们有一个值表,其中一列名为“选择”,我们想选择该值:
SELECT select FROM myTable
现在,我们在查询中引入了一些歧义。在我们的查询中,我们可以通过使用反引号来减少歧义:
SELECT `select` FROM myTable
这消除了我们在选择字段名称时缺乏判断力而引起的混乱。
只需将值传递给即可为您解决很多问题mysql_real_escape_string()。在下面的示例中,您可以看到我们正在通过此函数传递用户提交的数据,以确保它不会对我们的查询造成任何问题:
mysql_real_escape_string()
// Query $query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'", mysql_real_escape_string($user), mysql_real_escape_string($password));
其他方法转义字符串,如存在add_slashes,addcslashes,quotemeta,和更多的,但你会发现,当我们的目标是运行安全的查询,由大开发商喜欢mysql_real_escape_string或pg_escape_string(在PostgreSQL中的上下文。
add_slashes
addcslashes
quotemeta
mysql_real_escape_string
pg_escape_string