在PHP中,当向数据库提交字符串时,我应该使用htmlSpecialchars()处理非法字符还是使用正则表达式?我正在处理一个表单,该表单允许用户在要提交到数据库的字符串中使用非法/特殊字符。我想转义/否定字符串中的这些字符,并且一直在使用htmlSpecialchars()..然而,是否有更好/更快的方法?
3 回答
MMMHUHU
TA贡献1834条经验 获得超8个赞
$dbPreparedStatement = $db->prepare('INSERT INTO table (htmlcontent) VALUES (?)');$dbPreparedStatement->execute(array($yourHtmlData));$dbPreparedStatement = $db->prepare('INSERT INTO table (htmlcontent) VALUES (:htmlcontent)');$dbPreparedStatement->
execute(array(':htmlcontent' => $yourHtmlData));bindParam$db->bindParam(':userId', $userId, PDO::PARAM_INT);
$dbPreparedStatement = $db->prepare('INSERT INTO table (postId, htmlcontent) VALUES (:postid, :htmlcontent)');
$dbPreparedStatement->bindParam(':postid', $userId, PDO::PARAM_INT);$dbPreparedStatement->bindParam(':htmlcontent',
$yourHtmlData, PDO::PARAM_STR);$dbPreparedStatement->execute();$db
临摹微笑
TA贡献1982条经验 获得超2个赞
构建一个通常的查询方式,使其看起来与SQL控制台中运行的SQL查询完全一样。 要做到这一点,一个人应该明白 一整套规则,而不仅仅是“使用MySQL_REAL_EXECH_String”。 规则,如: 字符串应该用引号和转义来括起来。这是转义的唯一含义:它只是逃避分隔符!(以及其他一些字符-字符串终止字符和转义字符本身)。没有周围的引号,MySQL_REAL_EXECH_String就没用了。 数字应该显式地转换为它的类型。虽然数据数字可以像字符串一样受到威胁,但也有一些数字,比如限制子句参数,它们不能转义,只能进行强制转换。 发送查询和数据 分别.这是最可取的方式,因为它可以缩短为只是“使用绑定”。所有字符串、数字和限制参数都可以绑定-完全不用担心。 使用此方法,您的查询将占位符按原样发送到数据库,绑定数据以单独的数据包发送,因此不会发生干扰。就像 电码和 数据分离。将程序(查询本身)与数据分开发送。
但!
$orders = array("name","price","qty"); //field names$key = array_search($_GET['sort'],$orders));
// see if we have such a name$orderby = $orders[$key];
//if not, first one will be set automatically. smart enuf :)$query = "SELECT * FROM `table` ORDER BY $orderby";
//value is safe$w = array();$where = '';if (!empty($_GET['rooms']))
$w[]="rooms='".mesc($_GET['rooms'])."'";if (!empty($_GET['space']))
$w[]="space='".mesc($_GET['space'])."'";if (!empty($_GET['max_price']))
$w[]="price < '".mesc($_GET['max_price'])."'";if (count($w)) $where="WHERE ".implode(' AND ',$w);$query="select * from table $where";- 3 回答
- 0 关注
- 855 浏览
添加回答
举报
0/150
提交
取消