如何处理包含引号（等）的用户输入？

发布于 2024-12-06 11:11:13 字数 682 浏览 0 评论 0原文

我有一个标准的文本输入字段。它从 $_POST 获取它的值，我用它来构建 SQL 查询（ODBC，不仅仅是 MySQL，如果这有影响的话（或者实例，我不能使用 mysql_escape_string() ））。

我正在构建的查询在 PHP 上有单引号，在 SQL 上有双引号。例如：

$sql = 'SELECT * FROM ' . $table . ' WHERE field="' . $_POST['some_field'] . '"";

如果用户在输入中包含双引号，例如 6" 扳手，则我会在不平衡字符串上收到 SQL 错误（单引号，如 O'reilly 中所示）没有问题）。

再次，我使用的是 ODBC 接口，而不是 MySQL，

这只是 addslashes() 的问题吗？魔术报价？

更新： PHP 手册提到了魔术引号......

自 PHP 5.3.0 起，此功能已弃用。强烈建议不要依赖此功能。

（并不是说他们提出了替代方案；事实上，它还说 PHP 6 中将删除魔术引号）

答案应该是使用准备好的语句吗？

原文

I have a standard text input field. It get it's value from $_POST and I use it to build an SQL query (ODBC, not just MySQL, if that makes a difference (or instance, I can't use mysql_escape_string() ) ) .

The query which I am building has single quotes on the PHP and double quotes on the SQL. E.g.:

$sql = 'SELECT * FROM ' . $table . ' WHERE field="' . $_POST['some_field'] . '"";

If the user includes a double quote in his input e.g 6" wrench the I get an SQL error on the unbalanced string (a single quote, as in O'reilly gives no problem).

What's the correct way to handle this? Again, I am using the ODBC interface, not MySQL.

Is it just a matter of addslashes()? Or magic quotes?

Update: the PHP manual says of magic quotes ...