Forthose curious, the exact escaping performed on the string may vary slightly depending on your database configuration.
For example, if your database's standard_conforming_strings variable is OFF, backslashes are treated as a special character and pg_escape_string() will ensure they are properly escaped. If this variable is ON, backslashes will be treated as ordinary characters, and pg_escape_string() will leave them as-is. In either case, the behavior matches the configuration of the database connection.
PHP.mk документација
pg_escape_string
Почист и полокален преглед на PHP референцата, со задржана структура од PHP.net и подобра читливост за примери, секции и белешки.
Патека
function.pg-escape-string.php
Локална патека за оваа страница.
Извор
php.net/manual/en
Оригиналниот HTML се реупотребува и локално се стилизира.
Режим
Прокси + превод во позадина
Кодовите, табелите и белешките остануваат читливи во истиот тек.
Референца
function.pg-escape-string.php
pg_escape_string
Референца за `function.pg-escape-string.php` со подобрена типографија и навигација.
pg_escape_string
(PHP 4 >= 4.2.0, PHP 5, PHP 7, PHP 8)
pg_escape_string — Избегај низа за барање
= NULL
pg_escape_string() избегнува низа за барање во базата на податоци. Враќа избегната низа во формат на PostgreSQL без наводници. pg_escape_literal() е претпочитан начин за избегнување SQL параметри за PostgreSQL. addslashes() не смее да се користи со PostgreSQL. Ако типот на колоната е bytea, pg_escape_bytea() мора да се користи наместо тоа. pg_escape_identifier() мора да се користи за избегнување идентификатори (на пр. имиња на табели, имиња на полиња)
Параметри
connection-
Еден PgSql\Connection инстанца. Кога
connectionне е наведено, се користи стандардната врска. Стандардната врска е последната врска направена од pg_connect() or pg_pconnect().Ги ескејпува специјалните знаци во стринг за употреба во SQL изјаваОд PHP 8.1.0, користењето на стандардната врска е застарено.
data-
А string што содржи текст што треба да се избегне.
Вратени вредности
А string што ја содржи избегнатата податок.
Дневник на промени
| Верзија | = NULL |
|---|---|
| 8.1.0 |
На connection параметарот очекува PgSql\Connection
инстанца сега; претходно, а resource се очекуваше.
|
Примери
Пример #1 pg_escape_string() example
<?php
// Connect to the database
$dbconn = pg_connect('dbname=foo');
// Read in a text file (containing apostrophes and backslashes)
$data = file_get_contents('letter.txt');
// Escape the text data
$escaped = pg_escape_string($data);
// Insert it into the database
pg_query("INSERT INTO correspondence (name, data) VALUES ('My letter', '{$escaped}')");
?>Белешки од корисници Управување со PDO конекции
akashwebdev at gmail dot com ¶
пред 15 години
ringerc на ringerc точка id точка au ¶
12 години пред
You should prefer to use pg_query_params, i.e. use parameterized queries, rather than using pg_escape_string. Or use the newer PDO interface with its parameterized query support.
If you must substitute values directly, e.g. in DDL commands that don't support execution as parameterized queries, do so with pg_escape_literal:
http://au1.php.net/manual/en/function.pg-escape-literal.php
Identifiers can't be used as query parameters. Always use pg_escape_identifier for these if they're substituted dynamically:
http://au1.php.net/manual/en/function.pg-escape-identifier.php
You should not need to change text encodings when using this function. Make sure your connection's client_encoding is set to the text encoding used by PHP, and the PostgreSQL client driver will take care of text encodings for you. No explicit utf-8 conversions should be necessary with a correctly set client_encoding.
Натан Бруер ¶
пред 18 години
If your database is a UTF-8 database, you will run into problems trying to add some data into your database...
for securty issues and/or compatability you may need to use the: utf_encode() (http://php.net/utf8-encode) function.
for example:
<?php
$my_data = pg_escape_string(utf8_encode($_POST['my_data']));
?>
johniskew2 на yahoo точка com ¶
19 години пред
For those who escape their single quotes with a backslash (ie \') instead of two single quotes in a row (ie '') there has recently been a SERIOUS sql injection vulnerability that can be employed taking advantage of your chosen escaping method. More info here: http://www.postgresql.org/docs/techdocs.50
Even after the postgre update, you may still be limited to what you can do with your queries if you still insist on backslash escaping. It's a lesson to always use the PHP functions to do proper escaping instead of adhoc addslashes or magic quotes escaping.
meng ¶
19 години пред
Since php 5.1 the new function pg_query_params() was introduced. With this function you can use bind variables and don't have to escape strings. If you can use it, do so. If unsure why, check the changelog for Postgres 8.0.8.
otix ¶
19 години пред
Creating a double-tick is just fine. It works the same as the backslash-tick syntax. From the PostgreSQL docs:
The fact that string constants are bound by single quotes presents an obvious semantic problem, however, in that if the sequence itself contains a single quote, the literal bounds of the constant are made ambiguous. To escape (make literal) a single quote within the string, you may type two adjacent single quotes. The parser will interpret the two adjacent single quotes within the string constant as a single, literal single quote. PostgreSQL will also allow single quotes to be embedded by using a C-style backslash.
ppp ¶
пред 14 години
pg_escape_string() won't cast array arguments to the "Array" string like php usually does; it returns NULL instead. The following statements all evaluate to true:
<?php
$a = array('foo', 'bar');
"$a" == 'Array';
(string)$a == 'Array';
$a . '' == 'Array';
is_null(pg_escape_string($a));
?>