Mysql real escape string и SQL select

Question

Вопрос, если вы mysql_real_escape_string свою переменную, как она может работать с вами SELECT SQL-запрос. Например:

В моей строке есть столбец, который содержит значение 's-Gravenmoer. Теперь пользователь вводит значение 's-Gravenmoer, и я сбегу от этого введенного значения для обеспечения безопасности. Тем не менее, строка с колонами , которая содержит значение 's-Gravenmoer, никогда не появится, она добавила слайсы перед одной цитатой. Если есть способ сделать это с mysql_real_escape_string?

Спасибо, ребята! Sander

Answer 1

Вы неправильно понимаете, как избежать данных для использования SQL. Он не постоянно изменяет данные. Подумайте об этом как оберточную бумагу вокруг подарка. Вы делаете подарок некоторых данных в базу данных, и таким образом вы прекрасно ее дополняете (real_escape_string). Как только он достигнет базы данных, сервер БД разворачивает подарок (удаляет экранирование) и помещает «подарок» в свой тайник.

Ни в коем случае не добавлялись обратные косые черты, КОГДА-ЛИБО появляются в сохраненных данных, потому что они удаляются сервером БД, поскольку он выполняет фактическую установку. Эскапады существуют исключительно для обеспечения того, чтобы любые данные, которые вы вставили в запрос, не «ломали» инструкцию SQL, например.

$name = "Miles O'Brien"; // <---note the ' 
$sql = "INSERT INTO people (names) VALUES ('$name')"; 

в результате SQL:

INSERT INTO people (names) VALUES ('Miles O'Brien') 
              ^--- oops, string terminated earlier, what's this "Brien" field/keyword? 

с real_escape_string, ваш запрос выглядит

... VALUES ('Miles O\'Brien') 
        ^^---no longer an SQL string delimiter, treat it like any other char now.