服务器端用 mysql_real_escape_string 清洁客户端数据-剑心通明-ChinaUnix博客

BSD爱好者乐园jxtm.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

剑心通明

博客访问： 18661311
博文数量： 7460
博客积分： 10434
博客等级：上将
技术积分： 78178
用户组：普通用户
注册时间： 2008-03-02 22:54

文章分类

全部博文（7460）

武林英雄攻略（0）
淘宝网推荐（0）

节日礼物（0）

特产美食（0）

运动户外（0）

计算机相关（0）

女人（0）

男人（0）

母婴（0）

居家（0）

美容时尚（0）

手机数码（0）
其他（0）
数据库/php网页编（0）
交换机/路由器/网（0）
AIX（0）
MacOS（0）
C程序设计（0）
BSD相关（0）
shell脚本（0）
未分配的博文（7460）

文章存档

2011年（1）

2009年（669）

2008年（6790）

我的朋友

相关博文

服务器端用 mysql_real_escape_string 清洁客户端数据

分类： Mysql/postgreSQL

2008-05-19 19:21:05

用 array_map() 调用 mysql_real_escape_string 清理数组

由于 mysql_real_escape_string 需要 MySQL 数据库连接，因此，在调用 mysql_real_escape_string 之前，必须连接上 MySQL 数据库。

 
 
// 说明：用 array_map() 调用 mysql_real_escape_string 清理数组 
// 整理： 
function mysqlClean($data) 
{ 
    return (is_array($data))?array_map('mysqlClean', $data):mysql_real_escape_string($data); 
} 
?>

调用方法
PHP:

 
 
$conn = mysql_connect('localhost', 'user', 'pass'); 
... 
 
$_POST = mysqlClean($_POST); 
?>

经过清洁的数据可以直接插入。

注意！mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：

mysql_real_escape_string 考虑到连接的当前字符集，而mysql_escape_string 不考虑。

在知道数据类型为字符串时，我们可以在清洁数据的同时限制字符串长度。此方法来自 David Lane, Hugh E. Williams《Web Database Application with PHP and MySQL 》（O'Reilly， May 2004）

PHP:

 
 
// 说明：用 mysql_real_escape_string 清洁并限制字符长度 
// 整理： 
function mysqlClean($array, $index, $maxlength) 
{ 
    if (isset($array[$index])) 
    { 
        $input = substr($array["{$index}"], 0, $maxlength); 
        $input = mysql_real_escape_string($input); 
        return ($input); 
    } 
    return NULL; 
} 
?>

调用方法：
PHP:

 
 
$conn = mysql_connect('localhost', 'user', 'pass'); 
 
if(isset($_POST['username'])) 
{ 
    $_POST['username'] = mysqlClean($_POST, 'username', 20); 
    echo $_POST['username']; 
} 
?> 
 

将 $_POST 数组中的 'username' 清洁并截取前20位字符。

阅读(711) | 评论(0) | 转发(0) |

上一篇：PHP5对Mysql5的任意数据库表的管理代码示例之四

下一篇：PHP+MYSQL动态网页编程纠错指南

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6