如何在 MariaDB 和 PHP 中安全处理带撇号的字符串？

使用 MariaDB 和 PHP 安全处理带撇号的字符串

在处理用户输入时，防止 SQL 注入攻击至关重要。在 MariaDB 中，带撇号的字符串需要特别注意，因为它们可能被恶意利用。本文将指导你如何使用正则表达式验证输入、使用 mysqli_real_escape_string() 转义输入、以安全格式保存撇号，以及在 PHP 中以正确格式显示名称。

验证输入

使用正则表达式验证输入，确保其仅包含允许的字符。本例允许字母、空格、连字符和撇号，但排除数字：

$pattern = '/^[a-z .\-']+$/i';

转义输入

使用 mysqli_real_escape_string() 转义输入中的特殊字符，防止 SQL 注入。该函数将自动转义撇号和其它特殊字符。

安全保存撇号

在 MariaDB 中，使用 HTML 实体 ' 安全存储撇号。这将撇号表示为数字字符引用，防止它被解释为特殊字符。

显示名称

在 PHP 中显示名称时，需要将 HTML 实体 ' 转换为实际撇号。使用 htmlspecialchars_decode() 函数实现此目的。

代码示例

if (!preg_match('/^[a-z .\-']+$/i', $fullname)) {
    // 输入不合法，显示错误信息
    echo '输入不合法，请重新输入。';
    exit;
}

$fullname = mysqli_real_escape_string($connect, $fullname);

$sql = "INSERT INTO users (fullname) VALUES ('$fullname')";
mysqli_query($connect, $sql);

$sql = "SELECT fullname FROM users WHERE id = $id";
$result = mysqli_query($connect, $sql);
$row = mysqli_fetch_assoc($result);

echo htmlspecialchars_decode($row['fullname']);

结论

通过遵循这些步骤，你可以确保在 MariaDB 中安全处理带撇号的字符串，防止 SQL 注入攻击，并确保数据完整性。记住，在处理用户输入时，数据安全和完整性至关重要。

常见问题解答

1. 为什么需要验证输入？
为了防止 SQL 注入攻击，恶意用户可能会利用特殊字符在查询中注入恶意代码。

2. mysqli_real_escape_string() 如何工作？
它将特殊字符（如撇号）替换为转义序列，防止它们被解释为 SQL 命令的一部分。

3. 为什么在 MariaDB 中使用 HTML 实体 '？
撇号是 MariaDB 中的特殊字符，使用 HTML 实体以数字字符引用的形式安全地存储它。

4. htmlspecialchars_decode() 如何工作？
它将 HTML 实体（如 '）转换为实际字符，以正确显示带撇号的名称。

5. 遵循这些步骤有什么好处？
它确保了带撇号的字符串在 MariaDB 中被安全处理，防止 SQL 注入攻击，并保证了数据完整性和准确性。