[英]What is the proper way to escape a $_SESSION username for use in a mysql query?
我正在使用存储的$ _SESSION用户名:
$usernameunesc = htmlentities($_SESSION['username'], ENT_QUOTES, 'UTF-8');
并按如下所示转义变量:
$username = mysqli_real_escape_string($link, $usernameunesc);
然后使用它执行以下查询:
$query = mysqli_query($link, "SELECT id FROM users WHERE username = '".$username."'");
最后一个查询返回的输出
1111
如果我从查询中删除$username
并将其更改为'demo'(这实际上是用户名),则查询会成功返回ID 12,但是使用$username
变量无效。 我是否无法正确转义字符串? 有一个更好的方法吗? 顺便说一句,我也可以在SQL命令行中执行查询,并且查询效果很好,所以我知道查询不是问题。
当您使用mysqli时,建议您使用一条准备好的语句-它会自动转义变量。
if ($stmt = $mysqli->prepare("SELECT id FROM users WHERE username =?")) {
/* bind parameters for markers */
$stmt->bind_param("s", $usernameunesc);
/* execute query */
$stmt->execute();
}
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.