gpt4 book ai didi

php - 在 PDO 语句中转义列名

转载 作者:IT老高 更新时间:2023-10-28 23:45:00 26 4
gpt4 key购买 nike

我目前正在构建一个查询,其中字段/列和值部分都可能包含用户输入的数据。

问题在于转义字段名。我正在使用准备好的语句来正确转义和引用值,但是在转义字段名时我遇到了麻烦。

  • mysql_real_escape_string 需要一个mysql连接资源才能给我们这样排除
  • PDO::quote 在字段名周围添加引号,这使得它们在查询中也无用
  • addslashes 有效,但并不安全

任何人都知道在将字段名传递给 PDO::prepare 之前将其正确插入查询的最佳方法是什么?

最佳答案

进行分隔标识符的 ANSI 标准方法是:

SELECT "field1" ...

如果名称中有 ",则加倍:

SELECT "some""thing" ...

不幸的是,这在 MySQL 的默认设置中不起作用,因为 MySQL 更喜欢认为双引号是字符串文字的单引号的替代方案。在这种情况下,您必须使用反引号(如 Björn 所述)和反斜杠转义。

要正确进行反斜杠转义,您需要 mysql_real_escape_string,因为它依赖于字符集。但这一点没有实际意义,因为mysql_real_escape_string 和addslashes 都不会转义反引号字符。如果您可以确定列名中永远不会有非 ASCII 字符,您只需手动反斜杠转义 ` 和\字符即可。

无论如何,这与其他数据库不兼容。您可以通过设置配置选项 ANSI_QUOTES 来告诉 MySQL 允许使用 ANSI 语法。同样,SQL Server 默认情况下也会阻塞双引号;它使用另一种语法,即方括号。同样,您可以使用“quoted_identifier”选项将其配置为支持 ANSI 语法。

总结:如果只需要 MySQL 兼容性:

一个。使用反引号并禁止名称中的反引号、反斜杠和 nul 字符,因为转义它们是不可靠的

如果您需要跨 DBMS 兼容性,则:

b.使用双引号并要求 MySQL/SQL-Server 用户适本地更改配置。不允许在名称中使用双引号字符(因为 Oracle 甚至无法处理它们甚至转义)。或者,

c。有一个 MySQL vs SQL Server vs Others 的设置,并根据它生成反引号、方括号或双引号语法。禁止使用双引号和反斜杠/反引号/nul。

这是您希望数据访问层有一个功能,但 PDO 没有。

总结总结:任意列名是个问题,如果你能提供帮助,最好避免。

总结总结:gnnnnnnnnnnnh。

关于php - 在 PDO 语句中转义列名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1542627/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com