Передача специальных символов в базу данных mysql с помощью php

Question

У меня небольшая проблема с базой данных. Я использую mySQL и отправляю сообщения с использованием php, однако проблема, с которой я сталкиваюсь, заключается в том, что я не могу разместить специальные символы в базе данных, потому что они используются в php и вызывают ошибку. Поэтому я считаю, что лучший вариант - использовать mysqli_real_escape_string(). Поэтому я настроил свой vairaible, который я использую в качестве значений для публикации в моей базе данных с mysqli_real_escape_string(), и получаю следующую ошибку:

Предупреждение: mysqli_real_escape_string () ожидает ровно 2 параметра, 1 учитывая

Это заставляет думать, что я не настроил это правильно, так как я думал, что мне нужно только передать один параметр, а не два. Мой php настроен так, если кто-то может исправить меня, это было бы здорово:

<?php

  $servername = "localhost";

  $username = "root";

  $password = "";

  $dbname = "dbname";

  $conn = new mysqli($servername, $username, $password, $dbname);

  if ($_SERVER['REQUEST_METHOD'] == 'POST') {

    $name = mysqli_real_escape_string(strtolower($_POST['name']));

    $header = strtolower($_POST['header']);

    $address = strtolower($_POST['address']);

    $city = strtolower($_POST['city']);

    $county = strtolower($_POST['county']);

    $post = strtolower($_POST['post']);

    $tele = strtolower($_POST['tele']);

    $mob = strtolower($_POST['mob']);

    $email = strtolower($_POST['email']);

    $web = strtolower($_POST['web']);


    $sql1 = mysqli_query($conn, "SELECT * FROM business_dir WHERE `name` = '$name'");

    $matchFound = mysqli_num_rows($sql1) > 0 ? 'true' : 'false';

    if ($matchFound == 'false') {

      $sql2 = "INSERT INTO business_dir (`name`, `header`, `address`, `city`, `county`, `post`, `tele`, `mob`, `email`, `web`) VALUES ('$name', '$header', '$address', '$city','$county','$post', '$tele', '$mob', '$email', '$web')";

      if ($conn->query($sql2) === TRUE) {

          echo '<div class="alert alert-success text-center" style="margin:20px;" role="alert">Business Succesfully Added!</div>';              

      }

      else {

        echo '<div class="alert alert-danger text-center" style="margin:20px;" role="alert">Error: ' . $sql2 . "<br>" . $conn->error.'</div>';

      }

    }

    else {

      echo '<div class="alert alert-danger text-center" style="margin:20px;" role="alert">Business Failed To Be Added, An Entry With The Same Name Already Exists!</div>';

    }

  }

?>

Спасибо, ребята.

Answer 1

Функция mysqli_real_escape_string должна включать ваше подключение к базе данных.

http://php.net/manual/en/mysqli.real-escape-string.php

Предупреждение: mysqli_real_escape_string () ожидает ровно 2 параметра, 1 учитывая ... что я делаю неправильно?

Answer 2

Вы сильно смешиваете объектно-ориентированные функции и процедурные функции, которые не будут работать.Я полностью преобразовал ваш полный пример в объектно-ориентированный подход ниже:

<?php    
    $servername = "localhost";
    $username = "root";
    $password = "";  
    $dbname = "dbname";

    $conn = new mysqli($servername, $username, $password, $dbname);

    if ($_SERVER['REQUEST_METHOD'] == 'POST') {
        $name = $conn->real_escape_string(strtolower($_POST['name'])); 
        $header = strtolower($_POST['header']);
        $address = strtolower($_POST['address']);
        $city = strtolower($_POST['city']);    
        $county = strtolower($_POST['county']);
        $post = strtolower($_POST['post']);
        $tele = strtolower($_POST['tele']);    
        $mob = strtolower($_POST['mob']);    
        $email = strtolower($_POST['email']);    
        $web = strtolower($_POST['web']);

        $stmt = $conn->prepare("SELECT * FROM business_dir WHERE `name` = ?");
        $stmt->bind_param("s", $name);
        $stmt->execute();
        $stmt->store_result();

        $matchFound = $stmt->num_rows > 0 ? TRUE : FALSE;

        // Close the prepared statement
        $stmt->close();

        if ($matchFound === FALSE) {  
            $stmt = $conn->prepare("INSERT INTO business_dir (`name`, `header`, `address`, `city`, `county`, `post`, `tele`, `mob`, `email`, `web`) VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?)");
            $stmt->bind_param("ssssssssss", $name, $header, $address, $city, $county, $post, $tele, $mob, $email, $web);

            if ($stmt->execute() == TRUE) {
                echo '<div class="alert alert-success text-center" style="margin:20px;" role="alert">Business Succesfully Added!</div>';              
            } else {
                echo '<div class="alert alert-danger text-center" style="margin:20px;" role="alert">Error: ' . $sql2 . "<br>" . $conn->error.'</div>';
            }

            $stmt->close();
        } else {
            echo '<div class="alert alert-danger text-center" style="margin:20px;" role="alert">Business Failed To Be Added, An Entry With The Same Name Already Exists!</div>';
        }
    }

    // Close the mysqli connection
    $conn->close();
?>

Кроме того, mysqli_real_escape_string() предлагает небольшую защиту от SQL-инъекций .Поэтому я изменил ваш пример, чтобы использовать подготовленные операторы для дополнительной безопасности.

Answer 3

Относительно просто, вы должны добавить $ conn к вашей mysqli_real_escape_string ().Например;

$firstname = mysqli_real_escape_string($conn, $_POST['firstname']);