如何处理PHP和PDO中的用户文本输入?
我是否应该使用PDO quote()
,然后在检索时从用户输入中除去引号和斜杠,或者有更好的方法吗?
当从PHP表单插入用户输入到MySQL时,任何单引号(撇号)都会截断数据。 我目前正在使用PDO准备好的语句和bindValue()
语句。 我不确定使用PDO quote()
方法,它似乎将所有的字符串封装在引号中,然后用反斜杠(“”)在字符串中将引号转义。 据我所知,如果我使用这种方法,那么当我检索数据时,我需要从字符串中去除引号。 这是最好的方法吗? 使用PDO quote()
然后使用substring去除封装的单引号是否安全?
另外,我有点困惑为什么单引号会截断数据输入。 我认为PDO bindValue()
应该为我的单引号转义。 我可能会误解这一点。 手册不是很具描述性。
我检查过的东西:
bindParam()
, bindValue()
, prepare()
, quote()
) 以下是我正在使用的PDO插入代码:
//create query string
$profile_update_query_text = "
UPDATE user_profile
SET public=:public, headline=:headline, display_name=:display_name, skype=:skype, description=:description
WHERE user_id=:user_id";
//update table is required to modify existing user profile data
$query_profile_update_insert = $this->db_connection->prepare($profile_update_query_text);
$query_profile_update_insert->bindValue(':user_id', $_SESSION['user_id'], PDO::PARAM_INT);
$query_profile_update_insert->bindValue(':public', $public, PDO::PARAM_INT);
$query_profile_update_insert->bindValue(':headline', $headline, PDO::PARAM_STR);
$query_profile_update_insert->bindValue(':display_name', $display_name, PDO::PARAM_STR);
$query_profile_update_insert->bindValue(':skype', $skype, PDO::PARAM_STR);
$query_profile_update_insert->bindValue(':description', $description, PDO::PARAM_STR);
//execute profile insert
$query_profile_update_insert->execute();
我还包括用于创建PDO连接的功能,以便可以验证我没有使用会导致问题的任何设置:
private function databaseConnection()
{
// connection already opened
if ($this->db_connection != null) {
return true;
} else {
// create a database connection, using the constants from config/config.php
try {
$this->db_connection = new PDO('mysql:host='. DB_HOST .';dbname='. DB_NAME . ';charset=utf8', DB_USER, DB_PASS);
return true;
// If an error is catched, database connection failed
} catch (PDOException $e) {
$this->errors[] = MESSAGE_DATABASE_ERROR;
return false;
}
}
}
如果用户输入标题如下:
我是一个伟大的滑雪者
在MySQL中,我得到:
我或'我是一个伟大的滑雪者'
取决于我是否使用PDO quote()
。
PDO bindParam()
的运行方式有问题,它应该是逃避单引号,还是有处理这个问题的首选方法?
编辑 - 我检查是否使用以下语句启用了魔术引号:
if(get_magic_quotes_gpc()){
echo "magic quotes on";
}else{
echo "magic quotes off";
}
你不需要为此使用MySQL的PDO quote()
。 如果您需要将SQL插入到语句中,则无法使用bindParam()
/ bindValue()
。 我有一种感觉,为什么引号引起截断,这里还有其他事情正在发生。 bindParam()
/ bindValue()
应该正确地转义你绑定的任何字符串,而不必修改或过滤它。
我发现PDO正确地将数据插入到数据库中。 但是,当输出回HTML时,我发现我正在使用该行:
echo "value='".$this->profile_data['headline']."'";
但是,这对于来自数据库的字符串中的单引号造成了问题。
使用使用htmlentities()解决了这个问题。
链接地址: http://www.djcxy.com/p/93665.html