Добро пожаловать на форум PHP программистов!
За последние 24 часа нас посетили 16879 программистов и 1759 роботов. Сейчас ищут 1397 программистов ...
Оглавление
Авторские праваПредисловие
Приступая к работе
ВведениеПростой учебник
Установка и настройка
Общие инструкции по установкеУстановка на Unix системыУстановка на Mac OS XУстановка в системах WindowsУстановка на платформах Cloud ComputingМенеджер процессов FastCGI (FPM)Установка расширений PECLПроблемы?Конфигурация запуска
Справочник языка
Основы синтаксисаТипыПеременныеКонстантыВыраженияОператорыУправляющие конструкцииФункцииКлассы и объектыПространства именErrorsИсключенияGeneratorsСсылки. РазъясненияПредопределённые переменныеПредопределённые исключенияВстроенные интерфейсы и классыКонтекстные опции и параметрыПоддерживаемые протоколы и обработчики (wrappers)
Безопасность
ВступлениеОбщие рассужденияЕсли PHP установлен как CGIЕсли PHP установлен как модуль ApacheБезопасность файловой системыБезопасность баз данныхСообщения об ошибкахИспользование глобальных переменных (Register_Globals)Данные, введенные пользователемВолшебные кавычкиСокрытие PHPНеобходимость обновлений
Отличительные особенности
HTTP-аутентификация в PHPCookiesСессииРабота с XFormsЗагрузка файлов на серверРабота с удаленными файламиРабота с соединениямиПостоянные соединения с базами данныхБезопасный режимИспользование PHP в командной строкеСборка мусораDTrace Dynamic Tracing
Справочник функций
Изменение поведения PHPОбработка аудио форматовСлужбы аутентификацииРасширения для работы с командной строкойРасширения для сжатия и архивацииОбработка кредитных картКриптографические расширенияРасширения для работы с базами данныхРасширения для работы с датой и временемРасширения для работы с файловой системойПоддержка языков и кодировокОбработка и генерация изображенийРасширения для работы с почтойМатематические расширенияГенерация нетекстовых MIME форматовРасширения для управления процессами программДругие базовые расширенияДругие службыРасширения для работы с поисковыми системамиРасширения для работы с серверамиРасширения для работы с сессиямиОбработка текстаРасширения, относящиеся к переменным и типамВеб-сервисыРасширения только для WindowsОбработка XML
Ядро PHP: Руководство хакера
PrefaceMemory managementWorking with VariablesWriting FunctionsWriting ClassesWorking with ResourcesWorking with INI settingsWorking with streamsThe "counter" Extension - A Continuing ExampleThe PHP 5 build systemExtension structurePDO Driver How-ToExtension FAQsZend Engine 2 API referenceZend Engine 2 OpcodesZend Engine 1
ЧАВО
Общая информацияСписки рассылкиПолучение PHPВопросы по Базам данныхУстановкаПроблемы сборкиИспользование PHPХэширование паролейPHP и HTMLPHP и COMПереход с PHP 4 на PHP 5Разные вопросы
Appendices
История PHP и смежных проектовMigrating from PHP 5.6.x to PHP 7.0.xMigrating from PHP 5.5.x to PHP 5.6.xMigrating from PHP 5.4.x to PHP 5.5.xПереход с PHP 5.3.x на PHP 5.4.xПереход c PHP 5.2.x на PHP 5.3.xПереход с PHP 5.1.x на PHP 5.2.xПереход с PHP 5.0.x на PHP 5.1.xПереход с PHP 4 на PHP 5.0.xClasses and Objects (PHP 4)Отладка в PHPОпции конфигурацииДирективы php.iniСписок/классификация расширенийСписок псевдонимов функцийСписок зарезервированных словСписок типов ресурсовСписок доступных фильтровСписок поддерживаемых транспортных протоколовТаблица сравнения типов в PHPСписок меток (tokens) парсераРуководство по именованиюОб этом руководствеCreative Commons Attribution 3.0Алфавитный списокСписок изменений

PDO::quote - Заключает строку в кавычки для использования в запросе

Вернуться к: PDO

PDO::quote

(PHP 5 >= 5.1.0, PHP 7, PECL pdo >= 0.2.1)

PDO::quote Заключает строку в кавычки для использования в запросе

Описание

public string PDO::quote ( string $string [, int $parameter_type = PDO::PARAM_STR ] )

PDO::quote() заключает строку в кавычки (если требуется) и экранирует специальные символы внутри строки подходящим для драйвера способом.

Если вы используете эту функцию для построения SQL запросов, настоятельно рекомендуется пользоваться методом PDO::prepare() для подготовки запроса с псевдопеременными вместо использования PDO::quote() для вставки данных введенных пользователем в SQL запрос. Подготавливаемые запросы с параметрами не только компактней, удобней, устойчивей к SQL инъекциям, но и работают быстрее, нежели вручную построенные запросы, так как и клиент и сервер могут кэшировать такие запросы в уже скомпилированном виде.

Не все PDO драйверы реализуют этот метод (особенно PDO_ODBC). Предполагается, что вместо него будут использоваться подготавливаемые запросы.

Предостережение

Безопасность: набор символов по умолчанию

Для корректной работы PDO::quote() набор символов должен быть задан либо на сервере, либо задаваться самим соединением с базой данных (это зависит от драйвера). Подробнее см. документацию к драйверу базы данных.

Список параметров

string

Экранируемая строка.

parameter_type

Представляет подсказку о типе данных первого параметра для драйверов, которые имеют альтернативные способы экранирования.

Возвращаемые значения

Возвращает экранированную строку, которую теоретически безопасно использовать в теле SQL запроса. Возвращает FALSE, если драйвер не поддерживает экранирование.

Примеры

Пример #1 Экранирование обычной строки

<?php
$conn = new PDO('sqlite:/home/lynn/music.sql3');

/* простая строка */
$string 'Nice';
print "Неэкранированная строка: $string\n";
print "Экранированная строка: " $conn->quote($string) . "\n";
?>

Результат выполнения данного примера:

Неэкранированная строка: Nice
Экранированная строка: 'Nice'

Пример #2 Экранирование небезопасной строки

<?php
$conn = new PDO('sqlite:/home/lynn/music.sql3');

/* небезопасная строка */
$string 'Naughty \' string';
print "Неэкранированная строка: $string\n";
print "Экранированная строка:" $conn->quote($string) . "\n";
?>

Результат выполнения данного примера:

Неэкранированная строка: Naughty ' string
Экранированная строка: 'Naughty '' string'

Пример #3 Экранирование сложной строки

<?php
$conn = new PDO('sqlite:/home/lynn/music.sql3');

/* сложная строка */
$string "Co'mpl''ex \"st'\"ring";
print "Неэкранированная строка: $string\n";
print "Экранированная строка: " $conn->quote($string) . "\n";
?>

Результат выполнения данного примера:

Неэкранированная строка: Co'mpl''ex "st'"ring
Экранированная строка: 'Co''mpl''''ex "st''"ring'

Смотрите также

  • PDO::prepare() - Подготавливает запрос к выполнению и возвращает ассоциированный с этим запросом объект
  • PDOStatement::execute() - Запускает подготовленный запрос на выполнение



Вернуться к: PDO

© 2024 «PHP.RU — Сообщество PHP-Программистов»
Главная | Форум | Реклама на сайте | Контакты VIP Сувениры
Разработка компании ODware