mysql 转义字符和php addslashes
遇到一个很奇怪的问题,json数据中含有中文:
"mail":{"title":"\u6218\u529b\u8fbe\u4eba\u6d3b\u52a8\u5956\u52b1\u53d1\u653e","content":"\u606d\u559c\u60a8\u5728\u5408\u670d\u540e\uff0c\u60a8\u96c4\u9738\u6218\u529b\u699c\u7b2c\u4e00\u4f4d\uff0c\u83b7\u5f97\u6218\u529b\u699c\u7b2c1\u540d\u793c\u5305<\/font>\uff0c\u8bf7\u6536\u53d6\u9644\u4ef6\u83b7\u53d6\u5956\u52b1\u3002"}}
把这段数据作为一个串插入一个blob类型时,\ 全都消失了。
\u6218\u529b\u8fbe\变成了
u6218u529bu8fbeu4ebau6d3bu52a8u5956u52b1u53d1u653e。
导致取出数据库json_decode解不出中文。这就要说到mysql转义字符了。
在字符串中,某些序列具有特殊含义。这些序列均用反斜线(‘\’)开始,即所谓的转义字符。MySQL识别下面的转义序列:
\0 |
ASCII 0(NUL)字符。 |
\' |
单引号(‘'’)。 |
\" |
双引号(‘"’)。 |
\b |
退格符。 |
\n |
换行符。 |
\r |
回车符。 |
\t |
tab字符。 |
\Z |
ASCII 26(控制(Ctrl)-Z)。该字符可以编码为‘\Z’,以允许你解决在Windows中ASCII 26代表文件结尾这一问题。(如果你试图使用mysql db_name < file_name,ASCII 26会带来问题)。 |
\\ |
反斜线(‘\’)字符。 |
\% |
‘%’字符。参见表后面的注解。 |
\_ |
‘_’字符。参见表后面的注解。 |
这些序列对大小写敏感。例如,‘\b’解释为退格,但‘\B’解释为‘B’。
‘\%’和‘\_’序列用于搜索可能会解释为通配符的模式匹配环境中的‘%’和‘_’文字实例。参见12.3.1节,“字符串比较函数”。请注意如果你在其它环境中使用‘\%’或‘\_’,它们返回字符串‘\%’和‘\_’,而不是‘%’和‘_’。
在其它转义序列中,反斜线被忽略。也就是说,转义字符解释为仿佛没有转义。
有几种方式可以在字符串中包括引号:
· 在字符串内用‘'’引用的‘'’可以写成‘''’。
· 在字符串内用‘"’引用的‘"’可以写成‘""’。
· 可以在引号前加转义字符(‘\’)。
· 在字符串内用‘"’引用的‘'’不需要特殊处理,不需要用双字符或转义。同样,在字符串内用‘'’引用的‘"’也不需要特殊处理。
下面的SELECT语句显示了引用和转义如何工作:
- mysql> SELECT 'hello', '"hello"', '""hello""', 'hel''lo', '\'hello';
- +-------+---------+-----------+--------+--------+
- | hello | "hello" | ""hello"" | hel'lo | 'hello |
- +-------+---------+-----------+--------+--------+
- mysql> SELECT "hello", "'hello'", "''hello''", "hel""lo", "\"hello";
- +-------+---------+-----------+--------+--------+
- | hello | 'hello' | ''hello'' | hel"lo | "hello |
- +-------+---------+-----------+--------+--------+
- mysql> SELECT 'This\nIs\nFour\nLines';
- +--------------------+
- | This
- Is
- Four
- Lines |
- +--------------------+
- mysql> SELECT 'disappearing\ backslash';
- +------------------------+
- | disappearing backslash |
- +------------------------+
如果你想要在字符串列内插入二进制数据(例如BLOB),必须通过转义序列表示下面的字符:
NUL |
NUL字节(ASCII 0)。用‘\0’表示该字符(反斜线后面跟一个ASCII‘0’字符)。 |
\ |
反斜线(ASCII 92)。用‘\\’表示该字符。 |
' |
单引号(ASCII 39)。用‘\'’表示该字符。 |
" |
双引号(ASCII 34)。用‘\"’表示该字符。 |
当编写应用程序时,在包含这些特殊字符的字符串用于发送到MySQL服务器的SQL语句中的数据值之前,必须对它们正确进行转义。可以用两种方法来完成:
· 用转义特殊字符的函数处理字符串。例如,在C程序中,可以使用mysql_real_escape_string() C API函数来转义字符。参见25.2.3.52节,“mysql_real_escape_string()”。Perl DBI接口提供一个quote方法来将特殊字符转换为正确的转义序列。参见25.4节,“MySQL Perl API”。
· 显式转义特殊字符,许多MySQL API提供了占位符功能,允许你在查询字符串中插入特殊标记,然后当你发出查询时将数据值同它们绑定起来。在这种情况下,API关注转义值中的特殊字符。
php stripslashes和addslashes的区别
我们在向mysql写入数据时,比如:
那就会出错。同asp时一样,数据库都会对单引号过敏。而addslashes在这个时候就最长面子了,跟asp的replace(”‘”,”””,”kuhanzhu's blog”)功能一样。
PHP为了安全性,所以引入了个magic_quotes_gpc = On的功能,可以不需要做任何处理就能直接把单引号插入数据库中,那么对于Off时,则需要考虑单引号的问题了,而不是一味地信任运行环境。
当magic_quotes_gpc = On时,使用了addslashes()处理后的数据在数据库中将以\'形式保存,如果此时直接输出的话,就会发现比自己期待的内容多了个\,因此stripslashes()出场了,它能把\去掉(区别于str_replace(”\”, “”,$Str))。
当magic_quotes_gpc = Off时,使用了addslashes()处理后的数据在数据库中将以'形式保存,没有上面说的有\的问题,addslashes()起到插入数据不出错的作用,如果此时直接输出的话,数据正常。不需要再用stripslashes()。
addslashes()和stripslashes()正好是相反的,直接记忆:addslashes()加个\,stripslashes()去个\
那么什么时候用呢?
简单说:
当magic_quotes_gpc = On时,系统会自动处理单引号等问题,用不用addslashes()和stripslashes()都没关系,但是如果添加数据时用了addslashes(),那么显示数据时必须要stripslashes()
当magic_quotes_gpc = Off时,系统不会处理单引号等问题,所以插入数据时必须要使用addslashes(),显示数据时则不需要使用stripslashes()。
既然有了分析,做程序时要怎么办呢?根据以上两种情况,可得:
不管magic_quotes_gpc是On还是Off,咱添加数据时都用addslashes(),当On时,必须使用stripslashes(),Off时则不能用stripslashes()。
如何判断On还是Off呢?用get_magic_quotes_gpc()。
最后举例:
- 代码
- //提交数据,或者变量准备:
- $Content=addslashes(”这里面是数据,不管有没单引号或者还是变量”);
- //插入数据到数据库,代码省略
- //开始显示数据
- $Content=”从数据库读取的数据”;
- if(get_magic_quotes_gpc()){
- $Content=stripslashes($Content);
- }
- echo $Content;
mysql 转义字符和php addslashes的更多相关文章
- mysql 转义字符问题
首先我们要知道,数据库都是由表构成的,当你把数据插入到其中的一个表中的时候,比如是数字呀.文字呀等等的插入的时候能正常插入,但是一旦你要插入特殊的字符,比如说插入下面这个括号里面的内容(“ABC”)到 ...
- mysql 转义字符
在用户提交表单的时候,有的用户会提交一些特殊字符,比如单引号双引号,此时,如果直接按正常字符串插入数据库的话,可能会出现无法正确插入数据库 PDO::quote 转义mysql语句中的单引号和双引号 ...
- PHP自带防SQL攻击函数区别
为了防止SQL注入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全上的初步处理,也即Magic Quotes.(php.ini magic_quotes_gpc).如果m ...
- URL、表单数据、IP等处理类
<?php class ev { public $cookie; public $post; public $get; public $file; public $url; public $G; ...
- 【转】谈一谈PHP字串清除空格函数不安全
清除空格的方法是不安全的,部分原因是因为字符中的空格非常多,例如 "addslashes的问题在 于黑客 可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xb ...
- PHP mysql_real_escape_string() 函数防SQL注入
PHP MySQL 函数 定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符. 下列字符受影响: \x00 \n \r \ ' &quo ...
- PHP几个防SQL注入攻击自带函数区别
SQL注入攻击是黑客攻击网站最常用的手段.如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击.SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录 ...
- 浅谈如何保证discuz插件安全
1.非直接执行程序请加上 if(!defined('IN_DISCUZ')) { exit('Access Denied'); } 2.记得过滤 比如说uid等id需要intval过滤,避免溢出 ...
- php导入csv文件
<?php /** * Created by PhpStorm. * User: hanks * Date: 2017/4/30 * Time: 13:24 */ include 'header ...
随机推荐
- CSS中盒子模型和position(一)
今天遇到几个css中的重要的知识点,记得这些都是以前看过的:margin.padding.border和position.可是用起来还是有很多的问题,以前自己看过去总是懒得记录,等到用起来了都不知道自 ...
- springmvc返回jsp源代码解决办法
url-pattern问题 spring用到forward("/WEB-INF/jsp/*.jsp")而forward当然是又要经过web.xml的映射的,然后,在URL匹配时, ...
- hdu 3068 最长回文 manacher
题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=3068 给出一个只由小写英文字符a,b,c...y,z组成的字符串S,求S中最长回文串的长度.回文就是正 ...
- Facebook 和 Google 如何激发工程师的创造力
原文链接:http://kb.cnblogs.com/page/193450/ 今天终于“朝圣”了两个伟大的公司——Facebook和Google,对创造力和驱动力的来源有了更多的理解,尤其是对于典型 ...
- android中PreferenceScreen类的用法
PreferenceScreen preference是偏好,首选的意思,PreferenceScreen个人翻译成 “偏好显示”,明白这个意思就好,就是说根据特点灵活的定义显示内容风格,一个屏幕可以 ...
- 说说Thread.Sleep(0)的那些奇怪的事
写在前面 最近在弄一个传输组件,用到很多多线程的知识,其中有个问题,困扰我很久,不知道是什么原因,脑子一热,在传输过程中,添加了一句代码Thread.Sleep(0).那个问题竟然解决了,耗费我一上午 ...
- Excel每隔两行自动求和一次怎么操作?
今天ytkah得到一份数据,要求进行统计分析,由于是原始数据,还没处理过,数据量有点大,如下图所示(Excel每隔两行自动求和),每天的数字由两项组成,男生的人数.消费值和女生的人数和消费值,数字都在 ...
- ibatis的iterate使用
Iterate:这属性遍历整个集合,并为 List 集合中的元素重复元素体的内容. Iterate 的属性: prepend - 可被覆盖的 SQL 语句组成部分,添加在语句的前面(可选 ...
- 如何在 Swift 语言下使用 iOS Charts API 制作漂亮图表?
[编者按]本文作者 Joyce Echessa 是渥合数位服务创办人,毕业于台湾大学,近年来专注于协助客户进行 App 软体以及网站开发.文中作者通过示例介绍用 ios-charts 库创建简易美观的 ...
- SGU 107
107. 987654321 problem time limit per test: 0.25 sec. memory limit per test: 4096 KB For given numbe ...