将字符串添加到查询中的规则简单明了:字符串应该用引号括起来。
因此,这些引号应该在数据中转义,以及一些其他字符,使用
mysql_real_escape_string()
所以,您的代码变成$type = 'testing';$type = mysql_real_escape_string($type);$reporter = "John O'Hara";$reporter = mysql_real_escape_string($reporter);$query = "INSERT INTO contents (type, reporter, description)
VALUES('$type', '$reporter', 'whatever')";mysql_query($query) or trigger_error(mysql_error()." in ".$query);// note that when running mysql_query you have to always check for errors
但是,如果要在查询的另一部分中添加变量,规则就会改变。要添加一个数字,必须显式地将其转换为它的类型。
例如:$limit = intval($_GET['limit']); //casting to int type!$query = "SELECT * FROM table LIMIT $limit";要添加标识符,最好从某种类型的白名单中选择它,由硬编码的值组成
例如:if ($_GET['sortorder'] == 'name') {
$sortorder = 'name';} else {
$sortorder = 'id';}$query = "SELECT * FROM table ORDER BY $sortorder";
使一切简单化但在安全保证的情况下,我们必须使用某种占位符系统变量不是直接而是通过某个代理(称为占位符)进入查询的。
因此,查询调用如下所示:$type = 'testing';$reporter = "John O'Hara";pquery("INSERT INTO contents (type, reporter, description) VALUES(?s, ?s, ?s)",
$type, $reporter,'whatever');
因此,我们绝对无须担心所有这些问题。
对于有限的占位符集,可以使用PDO..虽然对于实际生活中的使用,您将需要扩展集,它是由少数库提供的,其中之一是SafeMysql.