Почему msyqli_real_escape_string() не позволяет избежать нескольких обратных косых черт?

Question

Учитывая это SQL

UPDATE `mytable` 
SET `mycolumn`='karla bailey-pearapppppppp\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\' 
WHERE `id`=5619 

Почему mysqli_real_escape_string() не избежать этой строки правильно?

Попытки использовать этот SQL запрос после побега значения столбца производит эту ошибку Mysqli:

«У Вас есть ошибка в вашем синтаксисе SQL, проверьте руководство, которое соответствует Вашей версии сервера MySQL для правильного синтаксиса, чтобы использовать около '' karla bailey-pearapppppppp \\\\\\\\\\\\\\\\\\\\\ '' по строке 3 "

Есть ли предел числу которые можно избежать?

Answer 1

Хорошо, поэтому я нашел проблему. Приложение проверяет максимальную длину столбца>, а если значение слишком велико, усекает значение ПОСЛЕ того, как побег завершен, тем самым сломав экранированное значение (в очень изолированном случае, где это произошло, этот код был установлен на протяжении многих лет).

Ergo не может обрезать значение, которое заканчивается обратными косыми чертами после того, как значение уже экранировано.

Answer 2

Вы избегаете строки ENTIRE? например

$sql = "UPDATE .... \\\\\\\'"; 
$escaped = mysqli_real_escape_string($link, $sql); 

Если да, это неправильно. Вы обманываете строку, делая это. Вы также избегаете ', которые ограничивают ваше значение where where. Экранирование должно выполняться только VALUES, которое вы вставляете в строку. например

$name = "Miles O'Brien"; // ' in name would cause syntax error 
$bad_sql = "SELECT '$name'"; 
$broken_sql = mysqli_real_escape_string($link, $bad_sql); 
// produces: SELECT \'Miles O\'Brien\' 


$ok_sql = "SELECT '" . mysqli_real_escape_string($link, $name) . "'"; 
// produces: SELECT 'Miles O\'Brien';