Как мне вставить значение в MySQL, состоящее из одинарных или двойных кавычек. т.е.
This is Ashok's Pen.
Одиночная кавычка создаст проблемы. Могут быть и другие escape-символы.
Как правильно вставить данные?
Как мне вставить значение в MySQL, состоящее из одинарных или двойных кавычек. т.е.
This is Ashok's Pen.
Одиночная кавычка создаст проблемы. Могут быть и другие escape-символы.
Как правильно вставить данные?
Проще говоря:
SELECT 'This is Ashok''s Pen.';
Итак, внутри строки замените каждую одиночную кавычку двумя из них.
Or:
SELECT 'This is Ashok\'s Pen.'
Избежать этого =)
'- escape-символ. Итак, ваша строка должна быть:
Это ручка Ашока
Если вы используете какой-либо интерфейсный код, вам необходимо выполнить замену строки перед отправкой данных в хранимую процедуру.
Например, в C # вы можете сделать
value = value.Replace("'", "''");
а затем передать значение хранимой процедуре.
''
(две одинарные кавычки) - это специальная альтернатива, позволяющая экранировать символ одинарной кавычки.
- person ToolmakerSteve; 08.07.2020
См. Мой ответ на «Как экранировать символы в MySQL» а>
Какая бы библиотека вы ни использовали для общения с MySQL, она будет иметь встроенную функцию экранирования, например в PHP вы можете использовать mysqli_real_escape_string или PDO :: quote
This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or PDO_MySQL extension should be used.
.
- person NewBee; 03.05.2018
Используйте этот код:
<?php
$var = "This is Ashok's Pen.";
mysql_real_escape_string($var);
?>
Это решит вашу проблему, потому что база данных не может обнаружить специальные символы строки.
This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or PDO_MySQL extension should be used.
.
- person NewBee; 03.05.2018
Если вы используете подготовленные операторы, драйвер обработает любое экранирование. Например (Java):
Connection conn = DriverManager.getConnection(driverUrl);
conn.setAutoCommit(false);
PreparedStatement prepped = conn.prepareStatement("INSERT INTO tbl(fileinfo) VALUES(?)");
String line = null;
while ((line = br.readLine()) != null) {
prepped.setString(1, line);
prepped.executeQuery();
}
conn.commit();
conn.close();
Есть другой способ сделать это, который может быть или не быть более безопасным, в зависимости от вашей точки зрения. Для этого требуется MySQL 5.6 или новее из-за использования конкретной строковой функции: _ 1_.
Допустим, у вас есть это сообщение, которое вы хотите вставить:
"Ah," Nearly Headless Nick waved an elegant hand, "a matter of no importance. . . . It's not as though I really wanted to join. . . . Thought I'd apply, but apparently I 'don't fulfill requirements' -"
В этой цитате есть множество одинарных и двойных кавычек, и вставить ее в MySQL было бы очень сложно. Если вы вставляете это из программы, легко избежать кавычек и т. Д. Но, если вам нужно поместить это в сценарий SQL, вам придется отредактировать текст (чтобы избежать кавычек), что может быть подвержено ошибкам. или чувствительны к переносу слов и т. д.
Вместо этого вы можете кодировать текст Base64, чтобы получить чистую строку:
SWtGb0xDSWdUbVZoY214NUlFaGxZV1JzWlhOeklFNXBZMnNnZD
JGMlpXUWdZVzRnWld4bFoyRnVkQ0JvWVc1a0xDQWlZU0J0WVhS
MFpYCklnYjJZZ2JtOGdhVzF3YjNKMFlXNWpaUzRnTGlBdUlDNG
dTWFFuY3lCdWIzUWdZWE1nZEdodmRXZG9JRWtnY21WaGJHeDVJ
SGRoYm5SbApaQ0IwYnlCcWIybHVMaUF1SUM0Z0xpQlVhRzkxWj
JoMElFa25aQ0JoY0hCc2VTd2dZblYwSUdGd2NHRnlaVzUwYkhr
Z1NTQW5aRzl1SjMKUWdablZzWm1sc2JDQnlaWEYxYVhKbGJXVn
VkSE1uSUMwaUlBPT0K
Некоторые примечания о кодировке Base64:
base64
и MySQL согласны с кодировкой символов (я рекомендую UTF-8).Теперь, чтобы загрузить это в MySQL:
INSERT INTO my_table (text) VALUES (FROM_BASE64('
SWtGb0xDSWdUbVZoY214NUlFaGxZV1JzWlhOeklFNXBZMnNnZD
JGMlpXUWdZVzRnWld4bFoyRnVkQ0JvWVc1a0xDQWlZU0J0WVhS
MFpYCklnYjJZZ2JtOGdhVzF3YjNKMFlXNWpaUzRnTGlBdUlDNG
dTWFFuY3lCdWIzUWdZWE1nZEdodmRXZG9JRWtnY21WaGJHeDVJ
SGRoYm5SbApaQ0IwYnlCcWIybHVMaUF1SUM0Z0xpQlVhRzkxWj
JoMElFa25aQ0JoY0hCc2VTd2dZblYwSUdGd2NHRnlaVzUwYkhr
Z1NTQW5aRzl1SjMKUWdablZzWm1sc2JDQnlaWEYxYVhKbGJXVn
VkSE1uSUMwaUlBPT0K
'));
Это будет вставлено без каких-либо жалоб, и вам не нужно было вручную экранировать любой текст внутри строки.
Вы должны экранировать специальные символы, используя символ \
.
This is Ashok's Pen.
Становится:
This is Ashok\'s Pen.
Если вы хотите сохранить апостроф (')
в базе данных, используйте следующий код:
$new_value = str_replace("'","\'", $value);
$new_value
можно хранить в базе данных.
Вы можете использовать этот код,
<?php
$var = "This is Ashok's Pen.";
addslashes($var);
?>
если mysqli_real_escape_string () не работает.
В PHP используйте mysqli_real_escape_string.
Пример из руководства PHP:
<?php
$link = mysqli_connect("localhost", "my_user", "my_password", "world");
/* check connection */
if (mysqli_connect_errno()) {
printf("Connect failed: %s\n", mysqli_connect_error());
exit();
}
mysqli_query($link, "CREATE TEMPORARY TABLE myCity LIKE City");
$city = "'s Hertogenbosch";
/* this query will fail, cause we didn't escape $city */
if (!mysqli_query($link, "INSERT into myCity (Name) VALUES ('$city')")) {
printf("Error: %s\n", mysqli_sqlstate($link));
}
$city = mysqli_real_escape_string($link, $city);
/* this query with escaped $city will work */
if (mysqli_query($link, "INSERT into myCity (Name) VALUES ('$city')")) {
printf("%d Row inserted.\n", mysqli_affected_rows($link));
}
mysqli_close($link);
?>
Если вы используете PHP, просто используйте функцию addlashes ().
Добавляет косые черты вручную в PHP
Для программного доступа вы можете использовать заполнители для автоматически экранировать небезопасные символы для вас.
Например, в Perl DBI вы можете использовать:
my $string = "This is Ashok's pen";
$dbh->do("insert into my_table(my_string) values(?)",undef,($string));
Используйте addlahes () или mysql_real_escape_string ().
This, mysql_real_escape_string() extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or PDO_MySQL extension should be used.
.
- person NewBee; 03.05.2018
Как я это делаю, используя Delphi:
Строка для «побега»:
TheString=" bla bla bla 'em some more apo:S 'em and so on ";
Решение:
StringReplace(TheString, #39,'\'+#39, [rfReplaceAll, rfIgnoreCase]);
Результат:
TheString=" bla bla bla \'em some more apo:S \'em and so on ";
Эта функция заменит все Char (39) на "\", что позволит вам без проблем вставлять или обновлять текстовые поля в MySQL.
Подобные функции есть во всех языках программирования!
Возможно, вы могли бы взглянуть на функцию _1 _ в руководстве по MySQL.
Так выглядят мои данные как ответ API, которые я хочу сохранить в базе данных MYSQL. Он содержит цитаты, HTML-код и т. Д.
Пример:-
{
rewardName: "Cabela's eGiftCard $25.00",
shortDescription: '<p>adidas gift cards can be redeemed in over 150 adidas Sport Performance, adidas Originals, or adidas Outlet stores in the US, as well as online at <a href="http://adidas.com/">adidas.com</a>.</p>
terms: '<p>adidas Gift Cards may be redeemed for merchandise on <a href="http://adidas.com/">adidas.com</a> and in adidas Sport Performance, adidas Originals, and adidas Outlet stores in the United States.'
}
РЕШЕНИЕ
CREATE TABLE `brand` (
`reward_name` varchar(2048),
`short_description` varchar(2048),
`terms` varchar(2048),
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=latin1;
При вставке In следует за JSON.stringify ()
let brandDetails= {
rewardName: JSON.stringify(obj.rewardName),
shortDescription: JSON.stringify(obj.shortDescription),
term: JSON.stringify(obj.term),
}
Выше находится объект JSON, а ниже - SQL-запрос, который вставляет данные в MySQL.
let query = `INSERT INTO brand (reward_name, short_description, terms)
VALUES (${brandDetails.rewardName},
(${brandDetails.shortDescription}, ${brandDetails.terms})`;
Это сработало ....
Если ничего не работает, попробуйте следующее:
var res = str.replace(/'/g, "\\'");
var res = res.replace(/"/g, "\\\"");
Он добавляет символ \ escape к всем (каждому) вхождению символов 'и
Не уверен, что это правильный / профессиональный способ решить проблему
Я предполагаю, что это сработает, но в реальном контенте все одиночные и двойные кавычки будут заменены символом \