mysqli::real_escape_string

    mysqli_real_escape_string

    (PHP 5, PHP 7, PHP 8)

    mysqli::real_escape_string -- mysqli_real_escape_string Maskiert Sonderzeichen in einer Zeichenkette zur Verwendung in einer SQL-Anweisung, wobei der aktuelle Zeichensatz der Verbindung berücksichtigt wird

    Beschreibung

    Objektorientierter Stil

    publicmysqli::real_escape_string(string$string): string

    Prozeduraler Stil

    mysqli_real_escape_string(mysqli$mysql, string$string): string

    Diese Funktion wird verwendet, um eine zulässige SQL-Zeichenkette zu erstellen, die in einer SQL-Anweisung verwendet werden kann. Die angegebene Zeichenkette wird kodiert, um eine maskierte SQL-Zeichenkette zu erzeugen, wobei der aktuelle Zeichensatz der Verbindung zugrunde gelegt wird.

    Achtung

    Sicherheit: Der Standardzeichensatz

    Damit sich der Zeichensatz auf mysqli_real_escape_string() auswirkt, muss er entweder auf der Server-Ebene oder mit der API-Funktion mysqli_set_charset() gesetzt werden. Weitere Informationen zu Zeichensätzen sind im Abschnitt Konzepte zu finden.

    Parameter-Liste

    mysql

    Nur bei prozeduralem Aufruf: ein von mysqli_connect() oder mysqli_init() zurückgegebenes mysqli-Objekt.

    string

    Die Zeichenkette, die maskiert werden soll

    Folgende Zeichen werden kodiert: NUL (ASCII 0), \n, \r, \, ', " und CTRL+Z.

    Rückgabewerte

    Gibt eine maskierte Zeichenkette zurück.

    Beispiele

    Beispiel #1 mysqli::real_escape_string()-Beispiel

    Objektorientierter Stil

    <?php

    mysqli_report    (MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
    $mysqli = new mysqli("localhost", "my_user", "my_password", "world");

    $city = "'s-Hertogenbosch";


    $query = sprintf("SELECT CountryCode FROM City WHERE name='%s'",
    $mysqli->real_escape_string($city));
    $result = $mysqli->query($query);
    printf("Select gab %d Zeilen zurück.\n", $result->num_rows);


    $query = sprintf("SELECT CountryCode FROM City WHERE name='%s'", $city);
    $result = $mysqli->query($query);

    Prozeduraler Stil

    <?php

    mysqli_report    (MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
    $mysqli = mysqli_connect("localhost", "my_user", "my_password", "world");

    $city = "'s-Hertogenbosch";


    $query = sprintf("SELECT CountryCode FROM City WHERE name='%s'",
    mysqli_real_escape_string($mysqli, $city));
    $result = mysqli_query($mysqli, $query);
    printf("Select gab %d Zeilen zurück.\n", mysqli_num_rows($result));


    $query = sprintf("SELECT CountryCode FROM City WHERE name='%s'", $city);
    $result = mysqli_query($mysqli, $query);

    Oben gezeigte Beispiele erzeugen eine ähnliche Ausgabe wie:

    Select gab 1 Zeilen zurück. Fatal error: Uncaught mysqli_sql_exception: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's-Hertogenbosch'' at line 1 in...

    Siehe auch

    To Top