Как правильно экранировать символы в SQL запросы, если нужно отправить HTML-код?

Question

[Никита Гуриев]

Вставляю (INSERT) данные в БД через PHP.

Данные тега $FnlCodeMsgMobile не вставляются.

$FnlCodeMsgMobile = "
<img src=\"$NewFileDir\" alt=\"$NewFileDir\" class='responsive-img' id='dynamic$maxIDNumberMobile'>
<script>
    document.getElementById('$maxIDNumberMobile').addEventListener('click', function() {
        lightGallery(document.getElementById('$maxIDNumberMobile'), {
            dynamic: true,
            thumbnail: true,
            dynamicEl: [{
                "src": '$NewFileDir',
            }]
        })

    });
</script>
";

Причём если присвоить переменной просто "Test", то всё вставляется. Что ещё нужно экранировать, чтобы строка успешно вставилась в БД?

В общем просто заменил одинарные кавычки на двойные и их тоже экранировал, всё вставилось и заработало.

Comments

[Макс]

$NewFileDir, $maxIDNumberMobile - эти переменные точно объявлены? что var_dump() говорит ?

Answer 1

[FanatPHP]

HTML никак специально экранировать не нужно. И вообще ничего экранировать не нужно. Экранирование - это треш, угар, прошлый век и инъекции. Данные в БД надо просто посылать отдельно от запроса.

Удивительно, что на этот вопрос подписалось ещё столько народу.
Ну это я не знаю - как подписаться на вопрос "сколько будет шестью шесть?". Не "дважды два", но близко.
Работа с БД - это самые основы пхп, которые обсосаны в каждом учебнике со всех сторон. Неужели всё так плохо, что этот вопрос вызывает столь живой интерес, чтобы попасть в список интересных на тостере?

Причем твоя лично проблема здесь совсем не в том, "как экранировать". HTML никак особо экранировать не нужно, базе данных абсолютно всё равно, что ты внее вставляешь. Твоя проблема в том, что ты в принципе не знаешь пхп и путаешься в основах языка, используешь устаревшую версию, которая не будет работать на живом сайте. И даже самый базовый синтаксис тебя пугает. Поэтому извини, я буду писать ответ не для тебя, а для тех, кто, в который раз, задается этим вечнозеленым вопросом, но по какой-то причине не смог освоить базовые навыки работы с гуглем/яндексом.

Чтобы вставить данные в mysql, и вообще никогда не думать ни про какое "экранирование", надо
1. Все переменные в запросе заменить на знаки вопроса
2. Подготовить запрос к исполнению
3. Привязать переменные к знакам вопроса
4. Выполнить запрос.

Как я уже говорил, функций, которые начинаются на mysql, в языке давно нет. Остаются только те, которые начинаются на mysqli и PDO. Вот для них я и приведу примеры.

mysqli

$type = 'testing';
$reporter = "John O'Hara";
$query = "INSERT INTO contents (type, reporter) VALUES(?, ?)"; // заменем
$stmt = $mysqli->prepare($query); // подготавливаем
$stmt->bind_param("ss", $type, $reporter); // привязываем
$stmt->execute(); // исполняем

Важно! Чтобы этот код работал, сначала надо правильно установить соединение mysqli
PDO

$type = 'testing';
$reporter = "John O'Hara";
$query = "INSERT INTO contents (type, reporter) VALUES(?, ?)"; // заменяем
$stmt = $pdo->prepare($query); // подготавливаем
$stmt->execute([$type, $reporter]); // привязываем и исполняем

Важно! Чтобы этот код работал, сначала надо правильно установить соединение PDO

Также можно использовать сторонние библиотеки, с которыми все еще проще. Но использование сторонних библиотек почему-то пугат новичков хуже чем зомби на кладбище в безлунную ночь, поэтому настаивать не буду

Comments

[granty]

Как я уже говорил, функций, которые начинаются на mysql, в языке давно нет. Остаются только те, которые начинаются на mysqli и PDO.

Справедливости ради, mysql есть в расширении mysqlnd, которое ставится и в PHP7.

[FanatPHP]

granty, справедливости ради, ты слышал звон, да не знаешь где он. mysqlnd является частью mysqli и PDO. Которые могут работать как с ним, так и без него (хотя mysqli без mysqlnd - это боль). А напрямую с ним работать нельзя, поэтому упоминать его в этот контексте не имеет смысла

[granty]

FanatPHP,

granty, справедливости ради, ты слышал звон, да не знаешь где он. mysqlnd является частью mysqli и PDO

Не, ты поменял местами лошадь и телегу.
mysqlnd - это отдельный драйвер между PHP и MySQL, который реализует функции mysql, mysqli и pdo (и кое-какие дополнительные фичи).

mysqlnd можно поставить вообще без поддержки mysqli и pdo (там нужное выбирается чекбоксами). Я ставил.
Так, что слухи о смерти mysql_ сильно преувеличены.

[FanatPHP]

mysqlnd можно поставить вообще без поддержки mysqli и pdo (там нужное выбирается чекбоксами). Я ставил.
Так, что слухи о смерти mysql_ сильно преувеличены.

@granty, ты здесь очень сильно напутал. То что ты ставил галочки в какой-нибудь cpanel, не приблизино тебя к пониманию того, что такое mysqlnd, как оно работает и имеет ли хоть какое-то отношение к устаревшему API mysql.

Для лучшего понимания попробуй "поставить" mysqlnd на семерке и проверить "слухи о смерти mysql_"

[granty]

FanatPHP, я ж тебе ссылку дал на Хабр, там разжёвано, что такое mysqlnd и как оно работает. Для особо непонятливых - есть картинки.

ты здесь очень сильно напутал. То что ты ставил галочки в какой-нибудь cpanel, не приблизино тебя к пониманию того, что такое mysqlnd, как оно работает и имеет ли хоть какое-то отношение к устаревшему API mysql.

Какая cpanel, что ты выдумываешь?! У меня свои dedicated сервера с 2005 года, я mysqlnd собираю руками из портов (если ты знаешь что это).

Для лучшего понимания попробуй "поставить" mysqlnd на семерке и проверить "слухи о смерти mysql_"

Нафига? Ты же видишь по тутошним топикам, что хостеры по полной поддерживают mysql_. Так, что, не надо бежать впереди паровоза.

[Antonio Solo]

FanatPHP, ты не думал сменить ник на PhpNazi ?

[FanatPHP]

granty,

там нужное выбирается чекбоксами

Ну в общем все ясно с тобой. Диванный боец за свою самооценку. Воюй дальше

[granty]

FanatPHP, чем тебе чекбоксы не угодили-то :) Ты, что, не знал, что на фряхе есть визуальный конфигуратор порта?

Вот тебе сборка моего драйвера mysqlnd с боевого сервера, там только mysql и mysqli:

mysqlnd library

Шо думаешь, мне долго на сервак залезть?


Судя по твоему:

mysqlnd является частью mysqli и PDO

из поста выше - диванный теоретик это ты. Ты RTFM то читал?

Встроенный драйвер MySQL (MySQL Native Driver или mysqlnd) теперь по
умолчанию работает для всех MySQL-модулей
(то есть mysql, mysqli и PDO_MYSQL).

Ты правда не понимаешь разницы между драйвером, и API, который через это драйвер работает?
У тебя получается, что хвост виляет собакой, а не собака виляет хвостом.

(хотя mysqli без mysqlnd - это боль)

Какая чушь! Нет там никакой боли, ты со стороны PHP и не узнаешь, через какую либу реализована связь PHP - MySQL: через MySQL Native Driver, или через клиентскую библиотеку MySQL (libmysqlclient).

разница mysqlnd и libmysqlclient

Там вся "заморочка" - только в лицензиях: "мускульная" библиотека идёт под лицензией Oracle, а MySQL Native Driver - под лицензией PHP. PHP-шники просто вышли из под ограничений лицензии Оракла (и добавили новых возможностей).

PS: Ты-то хоть какой-нибудь пруф своим утверждениям можешь предоставить, кроме фанатского лозунга "mysql must die!" в каждом топике?

[FanatPHP]

granty, вот тебе пруфы
про смерть: https://www.php.net/manual/ru/function.mysql-query.php
Я понимаю что велосипедисты многостаночники типа тебя могут попробовать воткнуть таки в семёрку устаревшее расширение с помощью лома и такой-то матери, но если пара некрофилов измываются над трупом, это не повод говорить что покойница ещё очень даже жива.
Про боль: https://www.php.net/manual/en/mysqli-stmt.get-resu...
Ты скорее всего не поймёшь, ты же у нас "стратег, а не тактик".
Но попробуй рассказать своему любителю писать в бд гзипованные строки (и потом искать по ним, ага), что у него нет любимой функции fetch_array, и он тебе все объяснит про боль, в красках

[granty]

FanatPHP,

про смерть: https://www.php.net/manual/ru/function.mysql-query.php
Я понимаю что велосипедисты многостаночники типа тебя могут попробовать воткнуть таки в семёрку устаревшее расширение с помощью лома и такой-то матери, но если пара некрофилов измываются над трупом, это не повод говорить что покойница ещё очень даже жива.

Ты и впрямь больной на всю голову. Найди хостера, которые не поддерживает PHP5 (фактически - mysql_). Вот стата поддержки PHP5 от Plesk на 2018:

Данные версий PHP по Германии

Про боль: https://www.php.net/manual/en/mysqli-stmt.get-resu...

Была недокументированная ошибка в работе одной функции, которая, кстати, работала через mysqlnd (через mysqlnd, Карл!).
И чо? Причем тут твоя фраза "хотя mysqli без mysqlnd - это боль"?

попробуй рассказать своему любителю писать в бд гзипованные строки (и потом искать по ним, ага), что у него нет любимой функции fetch_array

1. Ты посмотри конкретику, что он в БД складывает. Нафига устраивать полнотекстовый поиск по таким неструктурированным данным, да еще и в поле TEXT?

2. Интересно, и куда же любимая mysql_fetch_array денется?

К чему я всё это

Люди задают конкретные вопросы исходя из их ситуации. Если ты можешь помочь по существу - помогай.
Ты же просто бегаешь по всем PHP-ным топикам с заявлениями, что все вокруг дураки и всё делают не так, а ты - Д`Аартаньян.
Хотя на проверке выясняется что ты вообще ни разу не Д`Артаньян.

[FanatPHP]

Интересно, и куда же любимая mysql_fetch_array денется?

granty, ты, видимо уже потерял нить своих рассуждений. Я напомню.
- mysqli без mysqlnd -это боль.
- хаха, чушь! разница только влицензиях, ололо!!!!!1111адинадинадин
- без mysqlnd в mysqli нет fetch_array
- и куда же любимая mysql_fetch_array денется?
Тебе не кажется твоя последняя фраза несколько нелогичной в контексте предыдущего диалога?

[FanatPHP]

Найди хостера, которые не поддерживает PHP5 (фактически - mysql_)

granty, ты, видимо уже потерял нить своих рассуждений. Я напомню.
- Справедливости ради, mysql есть в расширении mysqlnd, которое ставится и в PHP7.
- ты запутался, поддержка mysqlnd не означает поддержку функуий mysql_в PHP7
- Найди хостера, которые не поддерживает PHP5 (фактически - mysql_).
Тебе не кажется твоя последняя фраза несколько нелогичной в контексте предыдущего диалога?

[granty]

FanatPHP,

ты, видимо уже потерял нить своих рассуждений

Не, всё началось с твоих фраз:
Как я уже говорил, функций, которые начинаются на mysql,
в языке давно нет.
и:
Твоя проблема в том, что ты в принципе не знаешь пхп и путаешься в основах языка, используешь устаревшую версию, которая не будет работать на живом сайте.

[FanatPHP]

granty,
https://www.php.net/supported-versions.php, 1 января 2019. Уже больше года этих функций в языке нет. Что не так? (нет, статистику двухлетней давности, на период, когда пятерка еще поддерживалась, приводить в качестве ответа не следует). И вообще любую статистику по некрофилам, которые еще держат этого ленина в мавзолее, приводить не стоит.

Твоя проблема в том, что ты, хоть и сообразительный, но не обладаешь кругозором. Как сказал один умный человек, сеньор от джуна отличается тем, что умеет смотреть дальше того куска кода, который вот прямо сейчас открыт в IDE. Джун пытается решить проблемы не на том уровне.

Ты видишь проблему - текст не вставляется в БД. Ты пытаешься её решить прямо здесь и прямо сейчас, придумывая уникальное решение, которое годится только для этой задачи. Вопрос "а зачем вообще городить специальный велосипед для вставки яваскрипта, который не работает для других данных, если яваскрипт перекрасно вставляется стандартными способами" просто не приходит тебе в голову. Зачем городить какое-то уникальное решение, если работает стандартное? Загадка.

Ты видишь проблему - нуб использует устаревшее расширение, которое официально не поддерживается, и уже сейчас ему придется страдать, выискавая хостинг для своей поделки, выбирая не по цене/качеству а по заботе о говнокодерах. А со временем все будет еще хуже. Вместо очевидного решения - сразу перейти на нормальное апи, пока еще не успел наструячить гигазы кода, который всё равно потом придется переписывать, ты начинаешь с пеной у рта доказывать, что тиаритически использовать устаревшее расширение можна!!!1111

Печально, что из-за таких джунов нормальные программисты и презирают пхп. Прекрасный язык, на котором насобачились говнокодить домохозяйки, на видящие дальше своего носа, рожая такие вот "решения".

[granty]

FanatPHP, пытаешься увести дискуссию от конкретики топика в плоскость холливара? Nice try :)

вот чем на самом деле отличается джуниор от сеньора.

Печально, что из-за таких джунов нормальные программисты и презирают пхп.

Программисты не презирают языки, они просто правильно выбирают их под конкретные задачи. Ибо потом приходится танцевать HipHop.

язык, на котором насобачились говнокодить домохозяйки, на видящие дальше своего носа.

Откуда у тебя столько неуважения к людям, которые пришли сюда за помощью?
Всегда найдётся тот, кто знает больше тебя. Или ты так и не понял сути кто такой говнокодер?

Ида, PHP не потерял свою нишу во многом именно благодаря таким "домохозяйкам". Поэтому все хостеры до сих пор держат под них PHP5.

[FanatPHP]

которые пришли сюда за помощью?

Я что-то не заметил, чтобы ты пришел сюда за помощью. :) Ты всё больше насчет показать всем какой ты умный и предложить адовы костыли тем, кто действительно пришел за помощью.

Ну ладно, хотя бы по фактуре уже не пытаешься натягивать сову на глобус - и то хорошо.

[Никита Гуриев]

"Твоя проблема в том, что ты в принципе не знаешь пхп и путаешься в основах языка, используешь устаревшую версию, которая не будет работать на живом сайте. И даже самый базовый синтаксис тебя пугает."

Я знаю PHP на самом начальном уровне, и использую его как могу. Сайт живой и вполне себе работает. Код я отредактировал и он теперь нормально вставляется (см. описание вопроса, я туда добавил информацию о том, что исправил).

[FanatPHP]

Никита Гуриев, ты даже не понимаешь, что только что подтвердил данную тебе характеристику.
Собственно, вопрос тут не в том, что ты знаешь сейчас, а в том, хочешь ли учиться делать правильно, или застываешь на уровне "слеплю кое-как из навоза и палок, работает - и ладно".

Впрочем, это было ясно и так. Как я говорил, ответ на для тебя, а для тех кто хочет учиться.

Answer 2

[Александр]

$data =
<<< start
<img src=\"$NewFileDir\" alt=\"$NewFileDir\" class='responsive-img' id='dynamic$maxIDNumberMobile'>
<script>
    document.getElementById('$maxIDNumberMobile').addEventListener('click', function() {
        lightGallery(document.getElementById('$maxIDNumberMobile'), {
            dynamic: true,
            thumbnail: true,
            dynamicEl: [{
                "src": '$NewFileDir',
            }]
        })

    });
</script>
start;

Как вариант Heredoc

Comments

[Никита Гуриев]

Не помогает.

[FanatPHP]

ты не понял вопроса

Answer 3

[granty]

Никита Гуриев, сделайте

$sql = "INSERT INTO `ваша_таблица`  data='".mysql_real_escape_string($data)."' WHERE ваше условие вставки";

всё должно вставиться. Имя поля и имя таблицы поставьте ваши, $data из каммента Александра выше(полученные через Heredoc).

Без Heredoc у вас не работало, потому, что вы строку брали в двойные кавычки ", и внутри неё использовали " без экранирования в:
"src": '$NewFileDir',
и переносы строк внутри " " могли отрабатываться неправильно.


Есть железобетонный вариант вставить всё что угодно (если размера поля БД хватит):

$sql = "INSERT INTO `ваша_таблица`  data='".base64_encode( gzcompress($data) )."'";

а когда достаёте из БД - надо распаковать обратно:

$data = gzuncompress( base64_decode( $row['data' ] ) );

Из минусов:
- доп нагрузка на запаковку-распаковку, но для вашей строки это ерунда. base64_encode() увеличивает размер данных примерно в 1.5 раза, но zip жмёт сильнее.

Из плюсов:
- SQL-инъекции отсутствуют как класс
- ничего не надо экранировать.
- кодировка данных - по барабану, вставится даже UTF8-данные в таблицу cp1251. Главное, потом их отдать в правильной кодировке (когда вытащите из таблицы и будете отправлять в браузер)