如何使用 PHP 安全地將單引號插入 MySQL 資料庫？

在PHP 中轉義單引號以進行MySQL 插入

使用PHP 將資料插入MySQL 資料庫時，轉義任何單引號重要(') 位於資料中以防止意外行為。在 MySQL 語句中使用單引號並在第二次插入嘗試中遇到錯誤時，會出現一個常見問題。

查詢1

第一個查詢，它從表單寫入job_log 表中，可以正常工作，因為booking_name 欄位中的單引號未明確轉義。但是，這不是推薦的做法。

$result = mysql_query("INSERT INTO job_log
(order_id, ...)
VALUES
('$order_id', '$supplier_id', ..., '$booking_name', '$address', ...)");

查詢2

第二個查詢（將資料庫中的資料插入message_log 表中）在下列情況下失敗： Primary_contact 欄位包含單引號。這是因為 row->primary_email 字串中的單引號會觸發 MySQL 語法錯誤。

$query = mysql_query("INSERT INTO message_log
(order_id, ...)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', ..., '$row->primary_email' ,..., '$message_content', '1')");

使用mysql_real_escape_string 的轉義解決方案

要解決此問題，正確轉義插入資料庫的字串值中的任何單引號至關重要。這可以使用 mysql_real_escape_string() 函數來實現，該函數會對字串進行轉義以符合 MySQL 語法。

$esc_primary_email = mysql_real_escape_string($row->primary_email);

$query = mysql_query("INSERT INTO message_log
(order_id, ...)
VALUES
('$order_id', '".date('Y-m-d H:i:s', time())."', '$email', '$from', ..., '$esc_primary_email' ,..., '$message_content', '1')");

透過使用 mysql_real_escape_string() 轉義單引號，查詢將成功執行而不會遇到錯誤，從而確保將資料正確插入資料庫。

以上是如何使用 PHP 安全地將單引號插入 MySQL 資料庫？的詳細內容。更多資訊請關注PHP中文網其他相關文章！