将字符串添加到查询中的规则很简单:
>字符串应该用引号括起来。
>因此,这些引号应该在数据中转义,以及其他一些字符,使用mysql_real_escape_string()
所以,你的代码变成了
$type = 'testing';
$type = mysql_real_escape_string($type);
$reporter = "John O'Hara";
$reporter = mysql_real_escape_string($reporter);
$query = "INSERT INTO contents (type, reporter, description)
VALUES('$type', '$reporter', 'whatever')";
mysql_query($query) or trigger_error(mysql_error()." in ".$query);
// note that when running mysql_query you have to always check for errors
但是,如果要在查询的另一部分中添加变量,则规则会更改。
>要添加数字,您必须明确将其转换为其类型。
例如:
$limit = intval($_GET['limit']); //casting to int type!
$query = "SELECT * FROM table LIMIT $limit";
>要添加标识符,最好从某种白名单中选择,由硬编码值组成
例如:
if ($_GET['sortorder'] == 'name') {
$sortorder = 'name';
} else {
$sortorder = 'id';
}
$query = "SELECT * FROM table ORDER BY $sortorder";
为了使其全部简化但保证安全,必须使用某种占位符系统,其中变量进入查询不直接,而是通过一些代理,称为占位符。
所以,你的查询调用变成这样:
$type = 'testing';
$reporter = "John O'Hara";
pquery("INSERT INTO contents (type, reporter, description) VALUES(?s, ?s, ?s)",
$type, $reporter,'whatever');
而且绝对没有必要担心所有这些事情。
对于有限的占位符集合,您可以使用PDO.虽然对于现实生活中的使用,你将需要扩展集,但提供几个图书馆,其中之一是SafeMysql。