mysql_real_escape_string ISSUE - PullRequest
Новая
       38

mysql_real_escape_string ISSUE

0 голосов
/ 25 сентября 2010

Если я наберу

в мою строку поиска я получаю сообщение об ошибке mysql, так как «жало» не сбежало - оно думает.

Но причина, по которой я не могу избежать этого, заключается в том, что я не думаю, что в настоящее время это строка.

окно поиска генерирует результаты поиска динамически с помощью ajax, как я набираю, и находит результаты, которые я получаю ошибку: 

    You have an error in your SQL syntax; check the manual that corresponds to
your MySQL server version for the right syntax to use near '%' OR Location
LIKE '%'%' OR Map LIKE '%'%' LIMIT 0, 16' at line 2

Это запрос mysql: 

<?php 
    if($_POST['q']!=""){
  include $_SERVER['DOCUMENT_ROOT'] . "/include/datebasecon.php";
        $result = mysql_query("
          SELECT id, Name, Location,  Map
          FROM Accommodation WHERE Name LIKE '%".$_POST['q']."%' OR Location LIKE '%".$_POST['q']."%' OR Map LIKE '%".$_POST['q']."%' LIMIT 0, 16") 
        or die(mysql_error());
        $output = "";
        while($row = mysql_fetch_array($result)){
            $N = preg_replace("/(".$_POST['q'].")/i","<span>$1</span>",$row['Name']);
            $L = preg_replace("/(".$_POST['q'].")/i","<span>$1</span>",$row['Location']);
            $M = preg_replace("/(".$_POST['q'].")/i","<span>$1</span>",$row['Map']);
            $output .= "<p>".$N." - ".$L."</p>";    
        }

        print $output;

    }
?>

Есть ли способ исправить это после публикации запроса?

Ответы [ 3 ]

3 голосов
/ 25 сентября 2010

Когда magic_quotes_gpc выключено (как и должно быть!), $_POST['q'] - это просто строка ', как один символ. Вот почему он появляется в вашем коде SQL следующим образом: 

%' OR Location LIKE '%'%' OR Map LIKE '%'%' LIMIT 0, 16

Ошибка возникает в '%'%', потому что строка LIKE преждевременно завершается.

Вы можете просто использовать mysql_real_escape_string() на $_POST['q'], и оно будет экранировано: 

$q = mysql_real_escape_string($_POST['q']);
$result = mysql_query("
  SELECT id, Name, Location,  Map
  FROM Accommodation WHERE Name LIKE '%".$q."%' OR Location LIKE '%".$q."%' OR Map LIKE '%".$q."%' LIMIT 0, 16") 
or die(mysql_error());
1 голос
/ 25 сентября 2010

Чтобы вы поняли.
Посмотрите на ваш запрос: 

LIKE '%search string%'

обратите внимание на апострофы, которые вы использовали для разделения строки поиска.
Эти апострофы означают, что данные внутри IS строки.
Все, что вы вставили в запрос в кавычки * 1010, - это строка.
Все , которое вы помещаете в кавычки в запросе должно быть экранированным.
Не нужно думать, считать или оценивать. Правило простое и однозначное: цитируемый текст всегда должен быть экранирован.

1 голос
/ 25 сентября 2010

Вы написали "Я не думаю, что в настоящее время это строка" ... это строка. Вы можете передать его на mysql_real_escape_string() и использовать результат, чтобы сделать ваш запрос безопасным и надежным. Все, что ваш скрипт получает с помощью параметров $_POST, $_GET, $_REQUEST и $_COOKIE, может использоваться в качестве строки, за исключением того, что это массив.

...