在搜索字段中输入单引号会导致 mysqli_num_rows 错误

Entering single quotes in search field results in mysqli_num_rows error

我一直在弄乱我的搜索页面。我添加了 mysqli_real_escape_stringstrip_tags,据我所知一切正常,应该是安全的。

我只是想在搜索表单中输入随机符号,看看在这些安全措施到位的情况下是否仍然可以找到我的所有数据库条目。一切都很好,除了我搜索单引号 (') 时。

这给了我 "mysqli_num_rows() expects parameter 1 to be mysqli_result, boolean given" 错误。有很多关于该错误的信息,我知道如何解决它(至少我是这么认为的)。但是,在这种特殊情况下,我不知道:/

代码:

ini_set('display_errors', 1);
$search = $_GET ['q'];
$conn = mysqli_connect("localhost", "root", "","release");
$search = mysqli_real_escape_string($conn, "$search");
$search = stripslashes(strip_tags(trim("$search")));

$query = mysqli_query($conn,"SELECT * FROM game WHERE game_name LIKE '%". $search ."%' ORDER BY game_release");
$count = mysqli_num_rows($query);

您应该在最后使用 mysqli_real_escape_string,就在您将变量注入数据库查询之前,尽管准备好的语句是首选。就我而言更容易。

你现在的问题不是你不能只用mysqli_real_escape_string,而是你使用的函数的组合和顺序:

$search = mysqli_real_escape_string($conn, "$search");
$search = stripslashes(strip_tags(trim("$search")));

您正在转义第一行中 mysql 值的特殊字符。这是通过添加斜杠来完成的。

在第二行中,您删除了斜线,取消了使用 mysqli_real_escape_string 的转义,并使您的查询容易受到 sql 注入的攻击。

就 sql 语句的安全性而言,mysqli_real_escape_string 就足够了,因此您只需要准备好的语句或:

$search = mysqli_real_escape_string($conn, $search);

其余部分是不必要的,但如果您想以任何方式这样做(例如,如果不允许使用标签),您应该将该行移至最终转义行上方:

$search = stripslashes(strip_tags(trim($search)));
$search = mysqli_real_escape_string($conn, $search);

// and now run your query without further manipulation:
$query = mysqli_query(...);