Функция PHP mysqli real_escape_string()

Пример — объектно-ориентированный стиль

Экранирование специальных символов в строках:

<?php
$mysqli = new mysqli("localhost","my_user","my_password","my_db");

if ($mysqli -> connect_errno) {
echo "Failed to connect to MySQL: " . $mysqli -> connect_error;
exit();
}

// Escape special characters, if any
$firstname = $mysqli -> real_escape_string($_POST['firstname']);
$lastname = $mysqli -> real_escape_string($_POST['lastname']);
$age = $mysqli -> real_escape_string($_POST['age']);

$sql="INSERT INTO Persons (FirstName, LastName, Age) VALUES ('$firstname', '$lastname', '$age')";

if (!$mysqli -> query($sql)) {
printf("%d Row inserted.\n", $mysqli->affected_rows);
}

$mysqli -> close();
?>

Посмотрите на пример процедурного стиля внизу.

Определение и использование

Функция real_escape_string()/mysqli_real_escape_string() экранирует специальные символы в строке для использования в SQL-запросе с учетом текущего набора символов соединения.

Эта функция используется для создания допустимой строки SQL, которую можно использовать в операторе SQL. Предположим, у нас есть следующий код:

<?php

$lastname = "D'Ore";

$sql="INSERT INTO Persons (LastName) VALUES ('$lastname')";

// This query will fail, cause we didn't escape $lastname
if (!$mysqli -> query($sql)) {
printf("%d Row inserted.\n", $mysqli->affected_rows);
}

?>

Синтаксис

Объектно-ориентированный стиль:

$mysqli -> real_escape_string(escapestring)

Процедурный стиль:

mysqli_real_escape_string(connection, escapestring)

Значения параметров

Parameter	Description
connection	Required. Specifies the MySQL connection to use
escapestring	Required. The string to be escaped. Characters encoded are NUL (ASCII 0), \n, \r, \, ', ", and Control-Z.

Технические детали

Возвращаемое значение:	Возвращает экранированную строку
Версия PHP:	5+

Пример — процедурный стиль

Экранирование специальных символов в строках:

<?php
$con = mysqli_connect("localhost","my_user","my_password","my_db");

if (mysqli_connect_errno()) {
echo "Failed to connect to MySQL: " . mysqli_connect_error();
exit();
}

// Escape special characters, if any
$firstname = mysqli_real_escape_string($con, $_POST['firstname']);
$lastname = mysqli_real_escape_string($con, $_POST['lastname']);
$age = mysqli_real_escape_string($con, $_POST['age']);

$sql="INSERT INTO Persons (FirstName, LastName, Age) VALUES ('$firstname', '$lastname', '$age')";

if (!mysqli_query($con, $sql)) {
printf("%d Row inserted.\n", mysqli_affected_rows($con));
}

mysqli_close($con);
?>

❮ Справочник по PHP MySQLi

Учебник по PHP

PHP- формы

PHP продвинутый

PHP ООП

База данных MySQL

PHP XML

PHP — АЯКС

Примеры PHP

Справочник по PHP