如何使用 PHP 安全地轉義 SQL Server 查詢中的字串？

使用PHP 在SQL Server 中轉義字串：綜合指南

使用PHP 處理SQL Server 時，保護您的資料至關重要透過正確轉義字串進行SQL 注入攻擊。這是一種防止惡意輸入被解釋為 SQL 命令的技術。

mysql_real_escape_string() 的替代方法

與 MySQL 不同，SQL Server 不提供內建的相當於 mysql_real_escape_string() 的函式。

Enter addslashes()

addslashes() 是一個 PHP 函數，通常被認為是字串轉義的潛在替代方法。但是，需要注意的是，addslashes() 並不完全適合與 SQL Server 資料庫一起使用。

更強大的解決方案

理想的解決方案是手動編碼資料為十六進位位元組字串。以下是一個指導您的程式碼片段：

$unpacked = unpack('H*hex', $data);
mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (0x' . $unpacked['hex'] . ')
');

可重複使用轉義的抽象

要簡化和重用轉義過程，您可以建立一個如下所示的自訂函數：

function mssql_escape($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (' . mssql_escape($somevalue) . ')
');

替代mysql_error()

對於錯誤處理，SQL Server 提供了 mssql_get_last_message() 作為 mysql_error() 的替代。

以上是如何使用 PHP 安全地轉義 SQL Server 查詢中的字串？的詳細內容。更多資訊請關注PHP中文網其他相關文章！