Как мне вставить значение в MySQL, состоящее из одинарных или двойных кавычек. т.е.
This is Ashok's Pen.Одиночная кавычка создаст проблемы. Могут быть и другие escape-символы.
Как правильно вставить данные?
Ответы:
Проще говоря:
SELECT 'This is Ashok''s Pen.';
Поэтому внутри строки замените каждую одиночную кавычку двумя из них.
Или:
SELECT 'This is Ashok\'s Pen.'
Избежать этого =)
'- это escape-символ. Итак, ваша строка должна быть:
Это ручка Ашока
Если вы используете некоторый интерфейсный код, вам необходимо выполнить замену строки перед отправкой данных в хранимую процедуру.
Например, в C # вы можете сделать
value = value.Replace("'", "''");а затем передать значение хранимой процедуре.
''(две одинарные кавычки) - это специальная альтернатива, разрешенная для «экранирования» символа одиночной кавычки.
См. Мой ответ на «Как экранировать символы в MySQL»
В любой библиотеке, которую вы используете для общения с MySQL, будет встроена функция экранирования, например, в PHP вы можете использовать mysqli_real_escape_string или PDO :: quote
This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or PDO_MySQL extension should be used..
Если вы используете подготовленные операторы, драйвер обработает любое экранирование. Например (Java):
Connection conn = DriverManager.getConnection(driverUrl);
conn.setAutoCommit(false);
PreparedStatement prepped = conn.prepareStatement("INSERT INTO tbl(fileinfo) VALUES(?)");
String line = null;
while ((line = br.readLine()) != null) {
prepped.setString(1, line);
prepped.executeQuery();
}
conn.commit();
conn.close();Используйте этот код:
<?php
$var = "This is Ashok's Pen.";
mysql_real_escape_string($var);
?>Это решит вашу проблему, поскольку база данных не может обнаружить специальные символы строки.
This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or PDO_MySQL extension should be used..
Есть другой способ сделать это, который может быть или не быть более безопасным, в зависимости от вашей точки зрения. Это требует MySQL 5.6 или более поздней версии , из - за использования конкретной функции строки: FROM_BASE64.
Допустим, у вас есть это сообщение, которое вы хотите вставить:
«А, - почти Безголовый Ник изящно махнул рукой, - дело неважное ... Не то чтобы я действительно хотел присоединиться ... Думал, что подам заявку, но, видимо, я не выполняю требования» '- "
В этой цитате есть множество одинарных и двойных кавычек, и вставить ее в MySQL было бы очень сложно. Если вы вставляете это из программы, легко избежать кавычек и т. Д. Но, если вам нужно поместить это в сценарий SQL, вам придется отредактировать текст (чтобы избежать кавычек), что может быть подвержено ошибкам. или чувствительны к переносу слов и т. д.
Вместо этого вы можете кодировать текст Base64, чтобы получить "чистую" строку:
SWtGb0xDSWdUbVZoY214NUlFaGxZV1JzWlhOeklFNXBZMnNnZD
JGMlpXUWdZVzRnWld4bFoyRnVkQ0JvWVc1a0xDQWlZU0J0WVhS
MFpYCklnYjJZZ2JtOGdhVzF3YjNKMFlXNWpaUzRnTGlBdUlDNG
dTWFFuY3lCdWIzUWdZWE1nZEdodmRXZG9JRWtnY21WaGJHeDVJ
SGRoYm5SbApaQ0IwYnlCcWIybHVMaUF1SUM0Z0xpQlVhRzkxWj
JoMElFa25aQ0JoY0hCc2VTd2dZblYwSUdGd2NHRnlaVzUwYkhr
Z1NTQW5aRzl1SjMKUWdablZzWm1sc2JDQnlaWEYxYVhKbGJXVn
VkSE1uSUMwaUlBPT0K
Некоторые примечания о кодировке Base64:
base64 MySQL согласен с кодировкой символов (я рекомендую UTF-8).Теперь, чтобы загрузить это в MySQL:
INSERT INTO my_table (text) VALUES (FROM_BASE64('
SWtGb0xDSWdUbVZoY214NUlFaGxZV1JzWlhOeklFNXBZMnNnZD
JGMlpXUWdZVzRnWld4bFoyRnVkQ0JvWVc1a0xDQWlZU0J0WVhS
MFpYCklnYjJZZ2JtOGdhVzF3YjNKMFlXNWpaUzRnTGlBdUlDNG
dTWFFuY3lCdWIzUWdZWE1nZEdodmRXZG9JRWtnY21WaGJHeDVJ
SGRoYm5SbApaQ0IwYnlCcWIybHVMaUF1SUM0Z0xpQlVhRzkxWj
JoMElFa25aQ0JoY0hCc2VTd2dZblYwSUdGd2NHRnlaVzUwYkhr
Z1NTQW5aRzl1SjMKUWdablZzWm1sc2JDQnlaWEYxYVhKbGJXVn
VkSE1uSUMwaUlBPT0K
'));
Это будет вставлено без каких-либо жалоб, и вам не нужно было вручную экранировать текст внутри строки.
Если вы хотите сохранить апостроф (') в базе данных, используйте следующий код
$new_value = str_replace("'","\'", $value); $ new_value можно хранить в базе данных.
В PHP используйте mysqli_real_escape_string .
Пример из руководства PHP:
<?php
$link = mysqli_connect("localhost", "my_user", "my_password", "world");
/* check connection */
if (mysqli_connect_errno()) {
printf("Connect failed: %s\n", mysqli_connect_error());
exit();
}
mysqli_query($link, "CREATE TEMPORARY TABLE myCity LIKE City");
$city = "'s Hertogenbosch";
/* this query will fail, cause we didn't escape $city */
if (!mysqli_query($link, "INSERT into myCity (Name) VALUES ('$city')")) {
printf("Error: %s\n", mysqli_sqlstate($link));
}
$city = mysqli_real_escape_string($link, $city);
/* this query with escaped $city will work */
if (mysqli_query($link, "INSERT into myCity (Name) VALUES ('$city')")) {
printf("%d Row inserted.\n", mysqli_affected_rows($link));
}
mysqli_close($link);
?>$var = mysqli_real_escape_string($conn, $_POST['varfield']);Если вы используете PHP, просто используйте функцию addlashes ().
Для программного доступа вы можете использовать заполнители чтобы автоматически экранировать небезопасные символы.
В Perl DBI, например, вы можете использовать:
my $string = "This is Ashok's pen";
$dbh->do("insert into my_table(my_string) values(?)",undef,($string)); Используйте addlahes () или mysql_real_escape_string ().
This, mysql_real_escape_string() extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or PDO_MySQL extension should be used..
Как я это делаю, используя Delphi:
Строка для «побега»:
TheString=" bla bla bla 'em some more apo:S 'em and so on ";Решение:
StringReplace(TheString, #39,'\'+#39, [rfReplaceAll, rfIgnoreCase]);Результат:
TheString=" bla bla bla \'em some more apo:S \'em and so on ";Эта функция заменит все Char (39) на "\", что позволит вам без проблем вставлять или обновлять текстовые поля в MySQL.
Подобные функции есть во всех языках программирования!