Задать вопрос
@xenonhammer
php

Как правильно оформить экранирование в запросе к mysql?

Здравствуйте! При формировании запроса к MySQL, столкнулся с проблемой ковычек.

Собираю строку запроса, используя код ниже:
Формирование строки

$query_string_category_name = "INSERT INTO `oc_testtest`(`name`) VALUES "; //Первая часть запроса.
		foreach($data as $k => $v){
			foreach($v as $k1 => $v1){
				if($v1['name'] !== NULL){                                // Если обкект не пустой, то добавить в запрос "(".
					$query_string_category_name .= "(";                              //Вторая часть запроса.
				}
				$query_string_category_name .= mysqli_real_escape_string($connect_bd, ($v1['name'])); //Третья часть запроса. Сам объект. Экранируем  ковычки
				
				if($v1['name'] !== NULL){                                // Если объект не пустой, то дабавить в запрос ")".
					$query_string_category_name .= ")";                              //Четвертая часть запроса. 
				}
				if ($k1+1 < count($v)) {                               // Если общее количество ключей меньше текущего, то поставить.
					$query_string_category_name .= ", ";                             //Пятая часть запроса.
				}
				// $query_string_category_name .=  "ON DUPLICATE KEY UPDATE `name`";    //Обновляем дубликаты
			}	
		}
		// $res_name = mysqli_query($connect_bd, $query_string_category_name);               // Обращение к базе данных с запросом.	
		print_r($query_string_category_name);


Строка действительно формируется, но почему-то не работает экранирование...

Вот как выглядит запрос в самом MySQL:
5e30025dc5db9899573339.jpeg

Как видите проблема в ковычках. Решил экранировать. Но почему нет толку?
  • Вопрос задан
  • 176 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
@xenonhammer Автор вопроса
$query_string_category_name .= "'" . ($v1['name']) . "', ";

Вот что прокатило.
Я же собирал строчку для инсерта, можно было просто в запросе к базе эти кавычки поставить, а не в переменную
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
FanatPHP
@FanatPHP
Чебуратор тега РНР
Про кАвычки при работе с БД надо ЗАБЫТЬ НАВСЕГДА.
И всегда использовать только вопросительный знак.

$stmt = $connect_bd->prepare("INSERT INTO `oc_testtest`(`name`) VALUES (?)");
$stmt->bind_param("s", $name);
$connect_bd->begin_transaction();
foreach($data as $chunk){
    foreach($chunk as $row){
        if ($row['name']) {
            $name = $row['name'];
            $stmt->execute();
        }
    }
}
$connect_bd->commit();
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
M-Social Production Брянск
от 70 000 ₽
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
PHP-разработчик
FunPay
от 300 000 до 500 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Менеджер по продажам в онлайн-школу
17 апр. 2024, в 00:48
35000 руб./за проект
Сделать картинки для слов
17 апр. 2024, в 00:13
800 руб./за проект
Разработка backend python+django
17 апр. 2024, в 00:06
240000 руб./за проект
Ещё заказы