我目前正在构建一个查询,其中字段/列和值部分都可能包含用户输入的数据。
问题在于转义字段名。 我正在使用准备好的语句来正确转义和引用值,但是在转义字段名时我遇到了麻烦。
- mysql_real_escape_string 需要一个mysql连接资源才能给我们这样排除
- PDO::quote 在字段名周围添加引号,这使得它们在查询中也无用
- addslashes 有效,但并不安全
任何人都知道在将字段名传递给 PDO::prepare 之前将其正确插入查询的最佳方法是什么?
最佳答案
进行分隔标识符的 ANSI 标准方法是:
SELECT "field1" ...
如果名称中有 ",则加倍:
SELECT "some""thing" ...
不幸的是,这在 MySQL 的默认设置中不起作用,因为 MySQL 更喜欢认为双引号是字符串文字的单引号的替代方案。在这种情况下,您必须使用反引号(如 Björn 所述)和反斜杠转义。
要正确进行反斜杠转义,您将需要 mysql_real_escape_string,因为它依赖于字符集。但这一点没有实际意义,因为mysql_real_escape_string 和addslashes 都不会转义反引号字符。如果您可以确定列名中永远不会有非 ASCII 字符,您只需手动反斜杠转义 ` 和\字符即可。
无论如何,这与其他数据库不兼容。您可以通过设置配置选项 ANSI_QUOTES 来告诉 MySQL 允许使用 ANSI 语法。同样,SQL Server 默认情况下也会阻塞双引号;它使用另一种语法,即方括号。同样,您可以使用“quoted_identifier”选项将其配置为支持 ANSI 语法。
总结:如果只需要 MySQL 兼容性:
一个。使用反引号并禁止名称中的反引号、反斜杠和 nul 字符,因为转义它们是不可靠的
如果您需要跨 DBMS 兼容性,则:
b.使用双引号并要求 MySQL/SQL-Server 用户适本地更改配置。不允许在名称中使用双引号字符(因为 Oracle 甚至无法处理它们甚至转义)。或者,
c。有一个 MySQL vs SQL Server vs Others 的设置,并根据它生成反引号、方括号或双引号语法。禁止使用双引号和反斜杠/反引号/nul。
这是您希望数据访问层有一个功能,但 PDO 没有。
总结总结:任意列名是个问题,如果你能提供帮助,最好避免。
总结总结:gnnnnnnnnnnnh。
关于php - 在 PDO 语句中转义列名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1542627/