PHP转义的数组怎么处理,关于php:PDO与内爆数组转义

最新推荐文章于 2021-03-22 22:51:17 发布
最新推荐文章于 2021-03-22 22:51:17 发布
阅读量136 收藏
点赞数
文章标签: PHP转义的数组怎么处理

我目前正在学习PDO(从MySQLi转移过来的),因为MySQLi的准备好的语句很糟糕。但是,我之前从未在此级别上完全尝试过PDO。我正在尝试创建一个包含多个常用函数的PDO数据库类,以便根据该函数的给定信息来构建查询。

这是我的delete()函数,将用于从表中删除行:

public function delete( $table, $where = array(), $limit = '' ) {

$holders = array();

$params = array();

foreach( $where as $field ) {

$holders[] = '?';

}

foreach( $where as $field => $value ) {

$value = $value;

$clause[] ="$field =" . implode( '', array_values( $holders  ) ) ."";

$params[] = $value;

}

$table = $this->prepend_table( $table );

$sql ="DELETE FROM {$table} WHERE" . implode( 'AND ', $clause );

if( !empty( $limit ) ) {

$sql .=" LIMIT {$limit}";

}

try {

$stmt = $this->connection->prepare( $sql );

$stmt->execute( $params );

return true;

} catch( PDOException $e ) {

die( 'Query Error: ' . $e->getMessage() );

exit;

}

}

如您所见,我正在从MySQL语句中的参数内嵌数组,然后准备并执行已构建的查询。

现在,在我的上一个问题中,有人提到过在准备语句中使用implode(),就像我上面提到的那样,是非常危险的,我应该对PDO使用"转义"。现在,我知道MySQLi具有real_escape_string,但是我将如何处理删除(和其他函数)并使其尽可能安全。

由于我是PDO的新手,如果我错过任何支票(或为了确保其安全性而要做的其他事情),请让我知道-完成后,我将要求代码审阅基地对我的类以确保它是安全的。

您将要验证$limit是一个数值,并且$table是一个合法的表名(您的prepend_table函数可以做到这一点吗?)。 但是在转义方面,如果您使用查询参数,则不需要转义这些字段; 多数民众赞成在使用查询参数的全部要点。 好吧,总的来说,这是很大一部分。

您尝试自己做某事真是太好了。 这让我想起了几年前的尝试(它确实起作用并且仍然起作用,但是语法很复杂;仅供参考pastebin)。 我最终编写了一个完整的新类来构建查询(类似于Laravels querybuilder类)。 我建议您研究Doctrine或将任何其他开源PDO包装器作为自己项目的参考。

请注意,因为您使用的是准备好的语句,因此您无需按照PHP文档中的引号进行操作。

If you are using this function to build SQL statements, you are strongly recommended to use PDO::prepare() to prepare SQL statements with bound parameters instead of using PDO::quote() to interpolate user input into an SQL statement. Prepared statements with bound parameters are not only more portable, more convenient, immune to SQL injection, but are often much faster to execute than interpolated queries, as both the server and client side can cache a compiled form of the query.

这样就可以避免整个转义过程。

但是,供您参考的是PDO的quote函数,

$conn = new PDO('sqlite:/home/lynn/music.sql3');

/* Simple string */

$string = 'Nice';

echo 'Unquoted string: ' . $string . '

';

echo 'Quoted string: ' . $conn->quote($string) . '

';

?>

输出量

Unquoted string: Nice

Quoted string: 'Nice'

好的,如果我理解正确,我想引用PDO引用,然后将其放入数组中吗?

他们是我的意思吗? 参数

否。再次阅读第一部分和报价! 您不需要使用它。

哦,对,这样我所做的就是安全的。

是的,我做到了。 我读到的是我不需要这样做,因为我使用了prepare()来保护查询。

樱桃阳子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现数组递归转义的方法
10-25
主要介绍了PHP实现数组递归转义的方法,包含了数组的递归调用与字符串的转义方法,需要的朋友可以参考下
php递归转义数组
民工陈的学习记录
11-24 459
<?php $arr=array("li'si",array("wang'wu",array("zhao'liu"))); function _addslashes($arr){ foreach($arr as $k=>$v){ if(is_string($v)){ $arr[$k]=addslashes($v);//是字符串直接转义 continue; }
PHP数组递归转义
jbxue123的专栏
08-29 671
PHP实现数组递归转义的方法,包含了数组的递归调用与字符串的转义方法,一起来看看。 PHP实现数组递归转义的方法。 主要功能代码: $arr = array('a"aa',array("c'd",array('e"f'))); function changes($arr){  foreach($arr as $k=>$v){  if (is_string($v)){   $arr
PHP转义数组怎么处理,php 数组如何实现转义
weixin_35231615的博客
03-21 307
php数组实现转义的方法:首先创建一个PHP示例文件;然后定义一个数组;接着通过自定义的changes方法实现数组递归转义;最后通过print_r打印转换结果即可。推荐:《PHP视频教程》PHP实现数组递归转义的方法本文以实例形式讲述了PHP实现数组递归转义的方法,分享给大家供大家参考之用。具体方法如下:主要功能代码如下:$arr = array('a"aa',array("c'd",array(...
php实现处理输入转义字符的代码
10-23
主要介绍了php实现处理输入转义字符的代码,需要的朋友可以参考下
sql注入与转义php函数代码
01-20
sql注入:  正常情况下:  delete.php?id=3; $sql = ‘delete from news where id = ‘.$_GET[‘id’];...转义:  有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义
PHP数组递归转义方法
jasonkent27的专栏
08-26 893
$arr = array('a"b',array("c'd",array('e"f'))); function _addslashed($arr){ foreach($arr as $k=>$v){ if (is_string($v)){ $arr[$k] = addslashes($v); }else if (is_array($v)) { //若为数组,则再转义. $
php数组进行递归转义,php中addslashes数组递归转义例子
weixin_39649660的博客
03-19 181
我们知道在php中addslashes函数是一个安全过滤函数,可以对接受到的变量进行转义以安全的入库了,但如果我们是以数组形式传参数过来,直接使用此函数无法进行操作了,下面我们一起来看看实现方法。一、函数主要了addslashes 方法addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:•单引号 (')•双引号 (")•反斜杠 (\)•NULL二、array_map 说...
php pdo取消自动转义html标签,PDO能不自动转义吗?
weixin_30533301的博客
03-22 175
我数据库有一个字段是这样存的,array (1 =>array (\'id\' => 1,\'name\' => \'测试\',\'desc\' => NULL,\'url\' => \'http://163.com\',\'parent\' => 0,),)写了个备份的程序,导出以后的格式也没有错INSERT INTO `table` VALUES('name...
php pdo字符,关于php:真正的转义字符串和PDO
weixin_39955154的博客
03-18 229
本问题已经有最佳答案,请猛点这里访问。我在从MySQL库迁移后使用PDO。我用什么来代替旧的real_escape_string功能?我需要转义单引号,这样它们就会进入我的数据库,我认为可能有更好的方法来处理这一点,而不添加(斜线)到我的所有字符串。有人能告诉我应该用什么吗?对参与方来说有点晚了,但是如果Prepare()方法不是选项(例如,当您构建自己的模型时),则可以使用pdo::quote(...
php转义字符
2号自信的博客
12-22 1335
php用什么方法可以将一个字符串中所有特殊字符转义输出? PHP5.5以后废弃了mysql扩展,可以转用mysqli或者pdo_mysql,所以mysql_real_escape_string函数,如果用mysqli的话可以用mysqli_real_escape_string代替 不过建议用pdo_mysql,使用预处理语句提高安全性。   htmlspecia
pdo方式连接mysql_php pdo方式连接mysql数据库
weixin_31088435的博客
01-19 419
PDO方法连接数据库是一种比较流行的方法:它的操作比较简单如果只是简单的使用的话:// 数据库连接try {$this->pdo = new \PDO("mysql:host=" . $hostname . ";port=" . $port . ";dbname=" . $database, $username, $password, array(\PDO::ATTR_PERSISTENT ...
php 自带过滤和转义函数
leedaning的专栏
02-01 1319
函数名 释义 介绍 htmlspecialchars 将与、单双引号、大于和小于号化成HTML格式 &转成&”转成"’ 转成'<转成<>转成> htmlentities() 所有字符都转成HTML格式 除上面htmlspecialchars字符外,还包括双字节字符显示成编码等。 addslashes 单双引号、反斜线及NULL加上反斜线转义 被改的字符包括单
PDO防数据库注入的解决思路
慢慢的专栏
06-24 537
//方式一:PDO::quote() 为SQL语句中的字符串添加引号或者转义特殊字符串,防止SQL注入 $user= $pdo->quote($user); $sql="SELECT *FROM wuti_test WHERE name={$user} AND pass='{$pass}'"; $stmt=$pdo->query($sql); $num=$stmt->rowCount();
mysql 转义 数组_php转义IN语句PDO MYSQL的字符串数组
weixin_39738251的博客
02-27 101
参见英文答案 >Can I bind an array to an IN() condition?21个我没有运行循环来更新表中的值,而是想使用IN语句(假设它更快?).我有一系列值:$array (1 => Tom2 => Bob3 => Sally's String4 => Pesce is ...
PHP初学者指南:分界符、变量、数组与对象
PHP入门文档,包括PHP的基本语法、分界标示符、变量、数据类型、字符串、数组和对象的概念及使用方法。” 在PHP编程语言的学习中,掌握基础概念和语法是至关重要的。PHP(Hypertext Preprocessor)是一种广泛用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值