PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Почему не работает addslashes и mysql_real_escape_string?

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

Rooner	Отправлено: 11 Декабря, 2012 - 17:53:27
Посетитель Покинул форум Сообщений всего: 291 Дата рег-ции: Авг. 2010 Помог: 0 раз(а)	В php.ini магические ковычки отключены, также на странице стоит ini_set('magic_quotes_gpc', 0); Добавляю в БД: Категория "A" Перед добавлением применяю к данной строке mysql_real_escape_string или addslashes, но когда смотрю в БД, то вижу что данная строка не экранирована, у нее нет слэшей Если применить к строке htmlspecialchars, то в БД строка экранируется Почему не работает addslashes и mysql_real_escape_string?

Мелкий	Отправлено: 11 Декабря, 2012 - 18:11:08
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Rooner пишет: когда смотрю в БД Там их и не должно быть. Экранирование нужно, чтобы парсер SQL понял, где данные, а где - команды. ----- PostgreSQL DBA

Rooner	Отправлено: 12 Декабря, 2012 - 09:25:51
Посетитель Покинул форум Сообщений всего: 291 Дата рег-ции: Авг. 2010 Помог: 0 раз(а)	Мелкий, понятно, а можно ли потом, при вытаскивании из БД, в mysql запросе убрать экранирование?

EuGen	Отправлено: 12 Декабря, 2012 - 09:27:28
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	stripslashes ? ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Мелкий	Отправлено: 12 Декабря, 2012 - 09:34:19
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Rooner пишет: при вытаскивании из БД, в mysql запросе убрать экранирование? В запросе - ни в коем случае. SQL-инъекция будет. В ответе на запрос - экранирования не будет. А если вы дважды или более раз зачем-то экранировали (например, упомянутые магические кавычки были по ошибке включены + mysql_real_escape_string применили) - то stripslashes, да. ----- PostgreSQL DBA

Rooner	Отправлено: 12 Декабря, 2012 - 09:45:50
Посетитель Покинул форум Сообщений всего: 291 Дата рег-ции: Авг. 2010 Помог: 0 раз(а)	EuGen, с этим ясно, возвращаюсь к вопросу. Объясните пожалуйста почему в инпуте не выводятся ковычки и все что после них? Вот пример: PHP: скопировать код в буфер обмена $text = addslashes('Категория "Б" и "В"'); echo $text; $query = "INSERT test SET text='".$text."'"; $data = mysql_query($query) or die; $query = "SELECT * FROM test"; $data = mysql_query($query) or die; $row = mysql_fetch_assoc($data); echo '<br />'.$row['text']; echo '<br /><input type="text" name="text" value="'.$row['text'].'"/>'; Результат: CODE (html): скопировать код в буфер обмена Категория \"Б\" и \"В\" Категория "Б" и "В" в инпуте: Категория

EuGen	Отправлено: 12 Декабря, 2012 - 09:50:59
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Потому что при подстановке в Rooner пишет: value="'.$row['text'].'" - подставятся и кавычки. И первая кавычка закроет атрибут value у Вашего input-поля. Например, htmlentities решит эту проблему. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Rooner	Отправлено: 12 Декабря, 2012 - 10:06:27
Посетитель Покинул форум Сообщений всего: 291 Дата рег-ции: Авг. 2010 Помог: 0 раз(а)	EuGen, не пойму к чему Вы предлагаете применить htmlentities?

EuGen	Отправлено: 12 Декабря, 2012 - 10:07:35
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	PHP: скопировать код в буфер обмена echo '<br /><input type="text" name="text" value="'.htmlentities($row['text']).'"/>'; ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Rooner	Отправлено: 12 Декабря, 2012 - 10:13:36
Посетитель Покинул форум Сообщений всего: 291 Дата рег-ции: Авг. 2010 Помог: 0 раз(а)	EuGen, сначала я так и сделал, но скрипт мне в инпуте вывел CODE (html): скопировать код в буфер обмена Р�Р°С�РµРіРѕС�РёС Что-то не то (Добавление) А кодировка не та, вот так работает: PHP: скопировать код в буфер обмена echo '<br /><input type="text" name="text" value="'.htmlentities($row['text'], ENT_QUOTES, "UTF-8").'"/>'; EuGen, спасибо

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.