Это обычное поведение для mysql_real_escape_string?

Question

Я просто отключил magic_quotes_gpc, и я заметил, что пользовательский ввод в мою базу данных имеет апострофы, как будто ничего не ускользнуло.

($_POST['message'])="it's a test"; 
$string = mysql_real_escape_string(htmlentities($_POST['message'])); 

Затем вставить его в базу данных, а база данных показывает: it's a test

Разве это не должно быть it\'s a test, после того, как я применил mysql_real_escape_string? Или это база данных (здесь, с PHPMyAdmin), которая переводит эти \' в '? Спасибо заранее.

Answer 1

Цель эвакуации SQL заключается в том, чтобы избежать пресечения SQL. INSERT INTO table VALUES ('it's a test') .. вызовет у вас проблемы, но когда вы сбежите от него, он превратится в INSERT INTO table VALUES ('it\'s a test') .., и это будет работать и вставить «это тест» в вашу базу данных.

Answer 2

mysql_real_escape_string() просто экранирует символы, чтобы правильно поместить их в БД. Таким образом, вы не увидите никаких обратных косых черт в юрской БД.

Благодаря тузд Doc (http://dev.mysql.com/doc/refman/5.1/en/string-literals.html#character-escape-sequences):

That is, the escaped character is interpreted as if it was not escaped. For example, “\x” is just “x”. 

Answer 3

При запросе INSERT INTO atable VALUES ('it\'s a test') выполнить

Только "it's a test" магазин в базе данных :)