替代 '或“？

Question

我正在使用 PHP fwrite 将 HTML 和 PHP 输入到文件中 问题是这样的，我使用了 ' ' 来包围 $content 是什么，即。 HTML 和 PHP，

括起来

 $sql="SELECT * FROM $tbl_name WHERE..... 

然后我使用“”将$content 中的内容

，但现在当我想这样做时我陷入困境：

  WHERE var1="$var1" and var2="$var2"  

因为我已经使用了“”和“”，如果我使用其中之一，显然它行不通

有什么想法可以用替代方法来解决这个问题吗？还有其他类似于 ' 或 " 的符号吗？

提前致谢 尼尔

Answer 1

$sql = 'SELECT * FROM ' . $tbl_name . ' WHERE var1="' . $var1 . '"';

话虽这么说，除非 $var1 是整数或以其他方式清理，否则您的代码将容易受到 SQL 注入< /a>.

Answer 2

您可以通过在前面放置反斜杠来转义“或 ' 字符：

$sql = "SELECT * FROM $tbl_name WHERE var1=\"$var1\" and var2=\"$var2\""

如果您不想受到 SQL 注入的攻击，请确保在执行此查询之前对 $var1 和 $var2 调用addslashes（或任何类似的内容）。

Answer 3

你可以这样做：

 $sql='select * from '.$tblname.' where...

Answer 4

你不需要任何替代品。

只是不要将 PHP 代码与您的代码一起写入文件中。

看，你使用 PHP 的方式非常错误。

您不必为每个新用户编写另一个 PHP 页面，而只需使用一个 PHP 页面即可为所有用户提供服务。

该页面将操作一些数据存储，数据库或文本文件，并将其显示给用户。

这就是每个 PHP 应用程序的工作方式：单个 PHP 代码，多个数据。

Answer 5

您可以使用反斜杠转义引号。所以在你的 $sql 变量中你可以使用

\" Escaped Double Quote.
\' Escaped Single Quote.

Answer 6

您也可以简单地在 SQL 查询中使用单引号：

$sql = "SELECT * FROM $tbl_name WHERE var1='some string value' AND var2='$var2'";

或者只使用字符串连接，这适用于单引号和双引号字符串：

$sql = "SELECT * FROM $tbl_name WHERE var1='" . $var1 . "' AND var2='" . $var2 . "'";
$sql = 'SELECT * FROM ' . $tbl_name . ' WHERE var1="'. $var1 . '" AND var2="' . $var2 . '"';

Answer 7

虽然上面的所有答案都是正确的，但我想指出一个更优雅的解决方案：

sprintf('SELECT * FROM %s WHERE var1 = "%s" AND var2 = %d', "tableName, "someString", 12);

Answer 8

如果您已经将字符串括在“”中，则无需在 $var1 和 $var2 周围再次添加它们

Answer 9

使用 PHP 手册中描述的 heredoc 语法。

http://www.php .net/manual/en/language.types.string.php#language.types.string.syntax.heredoc

Answer 10

您不需要任何 ' 或 " 的替代品。
您可以通过在其前面放置 \ 来转义 ' 或 "，

例如

$sql = "SELECT * from $table_name where var1=\"$var1\" and var2=\"$var2\""

执行后，$sql 中的字符串将是

SELECT * from my_table where var1="var1_value" and var2="var2_value"