今天在写一个网站的英文版时,写完后填加英文资料,我随便填写时一点问题没有,但每当填加指定的内容时却填加不上,也不报错,我查看了数据库,发现这个字段用的是“TEXT”数据数型,我以为是内容过长的原因,于是我把数据类型改成了“longtext”,但提交时发现还是出现同样的问题。
后来请教同事,同事发现在是英文中带标点“'”的原因,MySQL执行到此处后自动认为语句结束,所以才填加不上。既然找出来了问题那就得找出对应的解决方法,那就是在文本内容中的“'”前全部加上转义字符“\”,正好PHP中提供了自动在字符串中加入或去除转义字符的函数addcslashes和stripcslashes,于是加上测试后,果然问题解决!由此可见,我平日写程序时不够严禁,总是会忽略这样那样的细节问题,如果被HACKER发现这些问题加一利用,网站基本就OVER了,所以大家一定要引以为戒,不要和我犯同样的错误哦。
下面简单介绍这两个函数的用法:
string addcslashes(string str,string charlist):第1个参数str为待失物原始字符串,第2个参数charlist说明需要在原始串的哪些字符前加上字符 “\”。
string stripcslashes(string str):去掉字符串中的“\”。
例:
<?php
$sql = "update book set bookname='let's go' where bookid=1";
echo $sql."<br>";
$new_sql = addcslashes($sql,"'");
echo $new_sql."<br>"; //update book set bookname=\'let\'s go\' where bookid=1
$new_sql_01 = stripcslashes($new_sql);
echo $new_sql_01; //update book set bookname='let's go' where bookid=1
?>
本文章出自Shuro's Blog(http://www.shuro.cn),转载请注明出处,谢谢!