mysql_real_escape_string 与 Zend

Question

我正在使用 zend 框架开发一个 Web 应用程序。对于选择语句我使用了以下方式。

例如：

public function getData($name)
{
  $sql = "SELECT * from customer where Customer_Name = '$name'";
  return $this->objDB->getAdapter()->fetchAll ($sql);
}

这很好用。但是如果我将客户姓名发送为：colvin's place， 查询失败。我知道这是因为单引号。

之前我使用过addslashes PHP 函数。但我发现这不是一个好方法。这次我使用了 mysql_real_escape_string PHP 函数。

问题是它在警告之后说。

警告：mysql_real_escape_string() [function.mysql-real-escape-string]：用户访问被拒绝'ODBC'@'localhost'（使用密码：NO）

这是因为mysql_real_escape_string函数需要连接到由mysql_connect。我的问题是如何将它与 *Zend_DB* 类一起使用。我需要始终使用自定义选择查询。感谢您的其他建议（如果有）。

谢谢

Answer 1

您可以使用 Zend_Db 提供的 quote() 函数：

http://framework.zend.com/manual/en/zend.db.adapter.html#zend.db.adapter.quoting.quote

Answer 2

您也可以使用参数绑定，那么该方法将如下所示：

public function getData($name)
{
  $sql = "SELECT * from customer where Customer_Name = :name";
  return $this->objDB->getAdapter()->fetchAll ($sql, ['name' => $name]);
}

然后您的数据将被自动转义

Answer 3

我遇到了这个问题，我使用了这种方式并且工作正常：

您可以使用 quote()：

quote() 方法接受单个参数，即标量字符串值。它返回带有特殊字符的值，这些特殊字符以适合您正在使用的 RDBMS 的方式转义，并由字符串值分隔符包围。标准 SQL 字符串值分隔符是单引号 (')。

但 quote 返回一个带有 'string' 的字符串（在引号内返回），例如我从输入文本框（或通过 GET 方法中的 URL）从用户那里获取一个字符串

$string = $this->parameters['string']; // This is like $_POST or $_GET
$string = $this->db->quote($string);
$string = substr($string, 1, strlen($string)-2);   
//The above line will remove quotes from start and end of string, you can skip it

现在我们可以使用这个$string，它就像mysql_real_escape_string返回的一样

Answer 4

我遇到了同样的问题，这个解决方案对我来说效果很好。我希望这会有所帮助。
你可以这样做：

$quote_removed_name = str_replace("'","''",$name);

然后这样写你的查询：

$sql = "SELECT * from customer where Customer_Name = '$quote_removed_name'";