- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
请阅读下面的完整详细信息,这是一个示例函数,可以放在生成相同结果的 Controller 中。数据库结构贴在下面:
public function test()
{
if(isset($_POST['comment_original']))
{
$this->load->library('form_validation');
$comment_original = $this->form_validation->xss_clean(html_escape($_POST['comment_original']));
var_dump($comment_original);
$this->db->insert('comments', array(
'comment_set_id' => 2993,
'comment_user_id' => 40,
'comment_original' => $comment_original,
'comment_enabled' => 1,
'comment_is_spam' => 0,
'comment_time_added' => 1358090826,
'comment_time_updated' => 1358090826
));
var_dump($this->db->last_query());
}
$this->output->set_output('<form method="post">
<textarea name="comment_original"></textarea>
<br />
<input type="submit" />
</form>');
}
大家好,当我尝试将这样的字符串插入到我的数据库中时,插入到 TEXT 列中。
http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg
它在数据库中结束为:
我已经完成 $this->db->last_query() 来显示 Codeigniter 正在运行什么查询,它返回这个:
INSERT INTO `comments` (`comment_set_id`, `comment_user_id`, `comment_original`, `comment_html`, `comment_enabled`, `comment_is_spam`, `comment_time_added`, `comment_time_updated`, `comment_ip_address`) VALUES (2993, 40, 'http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg', 'http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg', 1, 0, 1358090826, 1358090826, 'XXX')
所以看起来它在尝试插入之前并没有被剥离。将该确切的字符串放入 php,我的管理员可以插入完整的字符串。
有人知道为什么会这样吗?
它会去除“é”之后的任何内容,所以同样的事情也会发生在像这样的字符串上:
http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg This is extra dummy text
在表单中发布的字符串实际上是这样的:
http://img.chronofoot.com/%E9ric-di-meco/interview-eric-di-meco_66454_w250.jpg
但是 xss_clean 将 %E9 转换为 é 这实际上不是我想要的,但我尝试对核心 xxs_clean 函数做任何事情。
最后一点,这就是我的 table 的样子,尽管我认为这没有任何区别:
CREATE TABLE IF NOT EXISTS `comments` (
`comment_id` int(10) unsigned NOT NULL AUTO_INCREMENT,
`comment_set_id` int(10) unsigned NOT NULL,
`comment_user_id` mediumint(6) unsigned NOT NULL,
`comment_original` text NOT NULL,
`comment_html` text NOT NULL,
`comment_attachments` text,
`comment_time_added` int(10) unsigned NOT NULL,
`comment_time_updated` int(10) unsigned NOT NULL,
`comment_enabled` tinyint(1) NOT NULL DEFAULT '1',
`comment_is_spam` tinyint(1) NOT NULL DEFAULT '0',
`comment_has_attachments` tinyint(1) NOT NULL DEFAULT '0',
`comment_has_edits` tinyint(1) NOT NULL DEFAULT '0',
`comment_ip_address` varchar(64) DEFAULT NULL,
PRIMARY KEY (`comment_id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8
我只是想知道一些额外的信息。
就像我说的那样,发布的实际字符串是这样的:
http://img.chronofoot.com/%E9ric-di-meco/interview-eric-di-meco_66454_w250.jpg
这会经过 html_escape,然后是 xss_clean。如果我先将它通过 xss_clean 然后它返回一个空字符串
var_dump($this->form_validation->xss_clean(html_escape($_POST['comment_original'])))
//Returns http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg
然后先 xss_clean
var_dump(html_escape($this->form_validation->xss_clean($_POST['comment_original'])))
//Returns ''
htmlentities 将以某种方式解决它,因为它将字符串转换为:
http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg
但此表单只是添加评论,因此可以添加任意数量的文本和 htmlentities,所以如果发布了类似这样的内容:
This won't work http://img.chronofoot.com/%E9ric-di-meco/interview-eric-di-meco_66454_w250.jpg
html_escape() 会把它转换成这个
This won't work http://img.chronofoot.com/%E9ric-di-meco/interview-eric-di-meco_66454_w250.jpg
xss_clean() 然后把它转换成这个
This won't work http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg
然后 htmlentities() 会将其转换为:
This won't work http://img.chronofoot.com/éric-di-meco/interview-eric-di-meco_66454_w250.jpg
这当然会破坏“won't”这个词,因为 & 符号会被转换两次。
最佳答案
在向表中插入数据时,您应该只使用 urlencode()
进行 URL 编码,并在选择数据后使用 urldecode()
。
它更简洁,您不必担心特殊字符。
关于mysql - Codeigniter mysql 插入查询剥离字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14305144/
目前我正在构建相当大的网络系统,我需要强大的 SQL 数据库解决方案。我选择 Mysql 而不是 Postgres,因为一些任务需要只读(MyISAM 引擎)而其他任务需要大量写入(InnoDB)。
我在 mysql 中使用如下命令。当它显示表格数据时,它被格式化为一个非常干净的表格,间距均匀且 |作为列分隔符。 SELECT * FROM TABLE_NAME; 当我从 CLI 运行命令时,如下
我知道这个问题之前已经被问过好几次了,我已经解决了很多问题,但到目前为止没有任何效果。 MySQL 试图将自身安装到的目录 (usr/local/mysql) 肯定有问题。关于我的错误的奇怪之处在于我
以下是我的 SQL 数据结构,我正在尝试如下两个查询: Select Wrk_ID, Wrk_LastName, Skill_Desc from Worker, Skill where
我们有一个本地 mysql 服务器(不在公共(public)域上),并希望将该服务器复制到我们拥有的 google 云 sql 实例。我的问题是:1.这可能吗?2.我们的本地服务器只能在本地网络上访问
我有一个表(test_table),其中一些字段值(例如字段 A、B 和 C)是从外部应用程序插入的,还有一个字段(字段 D),我想从现有表(store_table)插入其值,但在插入前者(A、B 和
我想创建一个 AWS RDS 实例,然后使用 terraform 管理数据库用户。因此,首先,我创建了一个 RDS 实例,然后使用创建的 RDS 实例初始化 mysql 提供程序,以进一步将其用于用户
当用户在我的网站上注册时,他们会在我的一个数据库中创建自己的表格。该表存储用户发布的所有帖子。我还想做的是也为他们生成自己的 MySql 用户——该用户仅有权从他们的表中读取、写入和删除。 创建它应该
我有一个关于 ColdFusion 和 Mysql 的问题。我有两个表:PRODUCT 和 PRODUCT_CAT。我想列出包含一些标记为:IS_EXTRANET=1 的特殊产品的类别。所以我写了这个
我想获取 recipes_id 列的值,以获取包含 ingredient_id 的 2,17 和 26 条目的值。 假设 ingredient_id 2 丢失则不获取记录。 我已经尝试过 IN 运算符
在 Ubuntu 中,我通常安装两者,但 MySQL 的客户端和服务器之间有什么区别。 作为奖励,当一个新语句提到它需要 MySQL 5.x 时,它是指客户端、服务器还是两者兼而有之。例如这个链接ht
我重新访问了我的数据库并注意到我有一些 INT 类型的主键。 这还不够独特,所以我想我会有一个指导。 我来自微软 sql 背景,在 ssms 中你可以 选择类型为“uniqeidentifier”并自
我的系统上有 MySQL,我正在尝试确定它是 Oracle MySQL 还是 MySQL。 Oracle MySQL 有区别吗: http://www.oracle.com/us/products/m
我是在生产 MySQL 中运行的应用程序的新维护者。之前的维护者已经离开,留下的文档很少,而且联系不上了。 我面临的问题是执行以下请求大约需要 10 秒: SELECT COUNT(*) FROM `
我有两个位于不同机器上的 MySQL 数据库。我想自动将数据从一台服务器传输到另一台服务器。比方说,我希望每天早上 4:00 进行数据传输。 可以吗?是否有任何 MySQL 内置功能可以让我们做到这一
有什么方法可以使用 jdbc 查询位于 mysql 根目录之外的目录中的 mysql 表,还是必须将它们移动到 mysql 根目录内的数据库文件夹中?我在 Google 上搜索时没有找到任何东西。 最
我在 mysql 数据库中有两个表。成员和 ClassNumbers。两个表都有一个付费年份字段,都有一个代码字段。我想用代码数字表中的值更新成员表中的付费年份,其中成员中的代码与 ClassNumb
情况:我有 2 台服务器,其中一台当前托管一个实时 WordPress 站点,我希望能够将该站点转移到另一台服务器,以防第一台服务器出现故障。传输源文件很容易;传输数据库是我需要弄清楚如何做的。两台服
Phpmyadmin 有一个功能是“复制数据库到”..有没有mysql查询来写这个函数?类似于将 db A 复制到新的 db B。 最佳答案 首先创建复制数据库: CREATE DATABASE du
我有一个使用 mySQL 作为后端的库存软件。我已经在我的计算机上对其进行了测试,并且运行良好。 当我在计算机上安装我的软件时,我必须执行以下步骤: 安装 mySQL 服务器 将用户名指定为“root
我是一名优秀的程序员,十分优秀!