PHP апостроф и строка запроса

Question

PHP апостроф и строка запроса

0

Я хочу предоставить инструкцию SQL из строки запроса, но все мои усилия приводят к сбрасыванию одинарных кавычек и слэшей.

cmaduro 01 июнь 2010, в 18:31

Источник

1

Пожалуйста, покажите нам ваш код, ваш ввод и ваш вывод.
Felix Kling 01 июнь 2010, в 15:54
4

Если я правильно читаю ваш вопрос, то настоятельно рекомендую не принимать запрос SQL в строке запроса.
Ian P 01 июнь 2010, в 15:56
0

да, кроме того, что вы никогда не должны делать это ... работать с действиями ... вроде как? action = del => switch $ action case: del => query
Toby 01 июнь 2010, в 15:57
0

Я создаю общий php веб-сервис. Это в основном оболочка для MySQL. Это не хорошая идея?
cmaduro 01 июнь 2010, в 15:59
0

Это отвратительная идея. Почему вы хотите обернуть MySQL в веб-сервис? Какой вариант использования?
Steve Hill 01 июнь 2010, в 16:02
0

Так что я могу получить к нему доступ из клиента Silverlight.
cmaduro 01 июнь 2010, в 16:02
0

Если это не очень хорошая идея, то как я могу реализовать это в общем виде?
cmaduro 01 июнь 2010, в 16:03

Показать ещё 5 комментариев

Теги:

php

mysql

3 ответа

0

как я могу реализовать это в родовом способ?

Все запросы должны быть жестко закодированы в вашем script.
Конечно, некоторые из них могут быть динамически построены, но вам разрешено создавать только DATA динамические, а не управляющие структуры.
Итак, это должно быть так:

$name=mysql_real_escape_string($_POST['name']);
if ($id = intval($_POST['id'])) { 
  $query="UPDATE table SET name='$name' WHERE id=$id"; 
} else { 
  $query="INSERT INTO table SET name='$name'"; 
}

или это:

if (!isset($_GET['id'])) {
  $query="SELECT * FROM table";  
} else {
  $id = intval($_GET['id'];
  $query="SELECT * FROM table WHERE id=$id";  
}

или что-то еще.
Конечно, вставленные данные должны быть надлежащим образом экранированы, лишены или привязаны.

Но иногда нам нужно использовать динамический оператор или идентификатор. Принцип один и тот же: все должно быть жестко закодировано в вашем script, ничего не должно передаваться с клиентской стороны непосредственно в SQL-запрос.
Скажем, чтобы сделать динамическую сортировку, вы можете использовать такой код

$orders=array("name","price","qty");
$key=array_search($_GET['sort'],$orders));
$orderby=$orders[$key];
$query="SELECT * FROM `table` ORDER BY $orderby";

или для сборки динамического ГДЕ:

$w=array();
if (!empty($_GET['rooms'])) $w[]="rooms='".mysql_real_escape_string($_GET['rooms'])."'";
if (!empty($_GET['space'])) $w[]="space='".mysql_real_escape_string($_GET['space'])."'";
if (!empty($_GET['max_price'])) $w[]="price < '".mysql_real_escape_string($_GET['max_price'])."'";


if (count($w)) $where="WHERE ".implode(' AND ',$w); else $where='';
$query="select * from table $where";

Your Common Sense 01 июнь 2010, в 13:56

0

Предполагая, что вы используете mysql, используйте mysql_real_escape_string()

http://www.php.net/manual/en/function.mysql-real-escape-string.php

paullb 01 июнь 2010, в 13:28

Ещё вопросы

Пожалуйста, покажите нам ваш код, ваш ввод и ваш вывод.
Если я правильно читаю ваш вопрос, то настоятельно рекомендую не принимать запрос SQL в строке запроса.
да, кроме того, что вы никогда не должны делать это ... работать с действиями ... вроде как? action = del => switch $ action case: del => query
Я создаю общий php веб-сервис. Это в основном оболочка для MySQL. Это не хорошая идея?
Это отвратительная идея. Почему вы хотите обернуть MySQL в веб-сервис? Какой вариант использования?
Так что я могу получить к нему доступ из клиента Silverlight.
Если это не очень хорошая идея, то как я могу реализовать это в общем виде?

Anthony Potts · Accepted Answer · 2010-06-01T13-15-00.000Z

Во-первых, убедитесь, что вы действительно действительно хотите это сделать. Это созрело для атаки SQL Injection.

Если вы хотите, чтобы что-то запускало заявления в отношении базы данных MySQL, просто используйте PHP-приложение для работы с phpMyAdmin или MySQL.