如何自动转义字符串在PHP SQL查询

在处理MySQL和GET、POST的数据时，常常要对数据的引号进行转义 *** 作。

PHP中有三个设置可以实现自动对’（单引号），”（双引号），\（反斜线）和 NULL 字符转转。

php称之为魔术引号，这三项设置分别是

magic_quotes_gpc

影响到 HTTP 请求数据（GET，POST 和 COOKIE）。不能在运行时改变。在 PHP 中默认值为 on。

这个开启时，通过GET,POST,COOKIE传递的数据会自动被转义。

如 testphpid=abc'de"f

echo $_GET['id']; # 会得到 abc\'de\"f

magic_quotes_gpc=On; 这个开启了，对写入数据库是没有影响的，比如 上面的$_GET['id'] 写到数据库里面，依然是 abc'de"f ,

相反，如果magic_quotes_gpc=Off; 那么字符中要带有引号（不管单引号还是双引号) ，直接写入mysql都会直接变成空白

但是，如果你将它写入文档，而非mysql。那么它将是 abc\'de\"f

magic_quotes_runtime

如果打开的话，大部份从外部来源取得数据并返回的函数，包括从数据库和文本文件，所返回的数据都会被反斜线转义。该选项可在运行的时改变，在 PHP 中的默认值为 off。

magic_quotes_sybase

如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 ”。而双引号、反斜线 和 NULL 字符将不会进行转义。

我表单内容本来是：<img alt=”" width=”400″ height=”300″ src=”/Upfiles/201105/images/1306657040jpg” />

<img alt=\”\” width=\”400\” height=\”300\” src=\”/Upfiles/201105/images/1306657040jpg\” />

对策一：修改phpini文件（修改phpini这个方法就不说了，大家可以google下）

对策二：把转义的给取消了

第一步：找到你提交的数据比如$_POST['content']，将其改成$content=stripslashes($_POST['content']);

第二步：以后在使用$POST['content']的地方都换成$content

第三步：提交到数据库，数据库储存还是正常的：<img alt=”" width=”400″ height=”300″ src=”/Upfiles/201105/images/1306657040jpg” />读出来又成了

<img alt=\”\” width=\”400\” height=\”300\” src=\”/Upfiles/201105/images/1306657040jpg\” />（这个应该知道怎么解决了吧？要不我再罗嗦下吧）

第四步：将数据库读取的内容再用stripslashes()过滤一下。

stripslashes() 这个函数 ，删除由addslashes()函数添加的反斜杠。用于清理从数据库或 HTML 表单中取回的数据

（

PHP页面中如果不希望出现以下情况:

单引号被转义为 \'

双引号被转义为 \"

那么可以进行如下设置以防止:

在phpini中设置:magic_quotes_gpc = Off）

总结如下：

1 对于magic_quotes_gpc=on的情况，

我们可以不对输入和输出数据库的字符串数据作

addslashes()和stripslashes()的 *** 作,数据也会正常显示。

如果此时你对输入的数据作了addslashes()处理，

那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。

2 对于magic_quotes_gpc=off 的情况

必须使用addslashes()对输入数据进行处理，但并不需要使用stripslashes()格式化输出

因为addslashes()并未将反斜杠一起写入数据库，只是帮助mysql完成了sql语句的执行。

在存储过程中，密码中有’(单引号)，第一反应使用转义字符。敲上/(反斜杠)，失败告终； 百度一下如下结果，SQL 的转义字符是：'（单引号），所以在密码中写’’(两个单引号)，表示一个单引号。C++ 的转义字符是：\SQL 的转义字符是：'（单引号）例：select from tbl where uyear='''06'请注意其中红色背景的单引号，它即表示转义字符，如果我们省略，则整个语句会出错，转义字符不会输出，上例中 uyear 的实际条件值为 '06，而不是 ''06为什么不能省略呢，假如我们省略，上句变成：select from tbl where uyear=''06'由于在 SQL 中单引号表示字符串的开始和结束符号，于是 SQL 解释器会认为语句中灰色背景的为字符串，其后的语句显然是个错误的语句，当然会报错，为了解决字符串的单引号问题，就出现了转义字符单。

没看出你说的括号在哪里，倒是少了一个''和若干空格

set @ss=('select top 1 from (select top '+@string+' from Table1)order by id desc')

双引号不用转，如果里面有单引号，那就在前面再加一个单引号

如：select replace('"dfdf''df"','"','')

用全角的演示一下 select replace(　‘“abc　’’　de　”’，‘“”’，‘’)

要防止sql注入就要在插入数据库之前对传入的每个变量进行转义。

有三个方法：

一，用addslashes()函数转义。

二，用pdo对象的quote()方法：$pdo->quote($var);进行转义

三，在执行sql语句用prepare() 。$pdo->prepare($sql)，prepare()默认对变量进行转义的。

创建 JSON 格式值数组的聚合函数。

注：IRIS可用，IRIS之前版本不可用。

JSON_ARRAYAGG 聚合函数返回指定列中值的JSON格式数组。

一个简单的 JSON_ARRAYAGG (或 JSON_ARRAYAGG ALL )返回一个 JSON 数组，其中包含所选行中 string-expr 的所有值。

字符串 -expr 为空字符串 (") 的行由数组中的( " u0000" )表示。

字符串 -expr 为NULL的行不包含在数组中。

如果只有一个字符串 -expr 值，并且是空字符串( " )， JSON_ARRAYAGG 将返回 JSON 数组 ["\u0000"] 。

如果所有的 string-expr 值为 NULL , JSON_ARRAYAGG 返回一个空的 JSON 数组 [] 。

JSON_ARRAYAGG DISTINCT 返回一个 JSON 数组，由所选行中 string-expr 的所有不同(唯一)值组成: JSON_ARRAYAGG(DISTINCT col1) 。

NULL 字符串 -expr 不包含在 JSON 数组中。

JSON_ARRAYAGG(DISTINCT BY(col2) col1) 返回一个 JSON 数组，该数组只包含记录中 col2 值是不同的(唯一的)的那些 col1 字段值。

但是请注意，不同的 col2 值可能包含一个单独的 NULL 值。

JSON_ARRAYAGG string-expr 不能是流字段。

指定流字段的结果是 SQLCODE -37 。

默认的 JSON_ARRAYAGG 返回类型是 VARCHAR(8192) 。

这个长度包括 JSON 数组格式化字符以及字段数据字符。

如果预期返回的值将需要大于 8192 ，可以使用 CAST 函数指定一个更大的返回值。

例如 CAST(JSON_ARRAYAGG(value)) AS VARCHAR(12000)) 。

如果实际返回的JSON数组长于 JSON_ARRAYAGG 返回类型长度，IRIS将在返回类型长度处截断JSON数组，而不会发出错误。

因为截断JSON数组会删除其关闭的 ] 字符，这使得返回值无效。

可以使用 %SelectMode 属性为 JSON 数组中的元素指定数据显示值: 0=Logical (默认值)， 1=ODBC , 2= display 。

如果 string-expr 包含一个 %List 结构，则元素以ODBC模式表示，用逗号分隔，在逻辑和显示模式中以 %List 格式字符表示，用 \ 转义序列表示。

JSON_ARRAYAGG 函数将表中多行列的值组合成一个包含元素值的 JSON 数组。

因为在计算所有聚合字段之后，查询结果集中应用了一个 ORDER BY 子句，所以 ORDER BY 不能直接影响这个列表中的值序列。

在某些情况下， JSON_ARRAYAGG 结果可能是按顺序出现的，但是不应该依赖于这种顺序。

在给定聚合结果值中列出的值不能显式排序。

下面的嵌入式SQL示例返回一个主机变量，该变量包含示例的 Home_State 列中所有值的 JSON 数组。

以字母 A 开头的人名表:

注意，这个 JSON 数组包含重复的值。

下面的动态SQL示例返回一个主机变量，该变量包含样本的 Home_State 列中所有不同(唯一)值的JSON数组。

以字母 A 开头的人名表:

下面的SQL示例为每个州创建了一个 JSON 数组，其中包含在 Home_City 列中找到的所有值，以及按州列出的这些城市值的计数。

每个 Home_State 行包含该状态的所有 Home_City 值的 JSON 数组。

这些JSON数组可能包含重复的城市名称:

更有用的是一个 JSON 数组的所有不同的值，发现在 Home_City 列为每个州，如下所示的动态SQL示例:

注意，这个示例返回每个州的不同城市名称和总城市名称的整数计数。

下面的动态SQL示例使用 %SelectMode 属性为 DOB 日期字段返回的JSON值数组指定 ODBC 显示模式:

下面的动态SQL示例使用 %FOREACH 关键字。

它为每个不同的 Home_State 返回一行，其中包含该 Home_State 的年龄值的JSON数组。

下面的动态SQL示例使用 %AFTERHAVING 关键字。

它为每个 Home_State 返回一行，其中至少包含一个满足 HAVING 子句条件的 Name 值(以 “M” 开头的名称)。

第一个 JSON_ARRAYAGG 函数返回一个包含该状态所有名称的 JSON 数组。

第二个 JSON_ARRAYAGG 函数返回的 JSON 数组只包含满足 HAVING 子句条件的名称: