为什么addslashes() 函数在我的php 数组上不起作用？

Question

我在一个数组中有一系列会话变量。当我在我的字符串变量之一中使用引号时，我尝试添加斜杠，以便最终将其插入数据库，但添加斜杠（）函数不起作用。这是一个例子。

在 cmets 字段中，我这样写：

这是“评论”

我意识到这是一个问题，所以我在将它输入数据库之前添加了一个函数，该函数通过一系列 Session 变量运行，包括 cmets 变量。

$strip_fields = array($_SESSION['comments'],$_SESSION['employee_id'],$_SESSION['approved_by'],$_SESSION['delivery_email'],$_SESSION['full_name'],$_SESSION['first_name'],$_SESSION['last_name']);

        foreach($strip_fields as $key => $value) {
            $key = addslashes($key);
        }

运行此函数后，我尝试回显 cmets 变量 $_SESSION['cmets']

这是“评论”

所以我可以看到，addslashes 函数在某种程度上不能像我使用它那样工作。为什么 addlashes 函数不能像我使用的那样工作？

这是我的解决方案（我从两个建议中都使用了一点）

$strip_fields = array(
            'employee_id', 'approved_by', 'delivery_email', 'full_name', 
            'first_name', 'last_name', 'title', 'title_2', 'dept_div', 
            'dept_div_2', 'email', 'comments', 'special_instructions'
        );

        foreach($strip_fields as $key) {
            $_SESSION[$key] = $conn->real_escape_string($_SESSION[$key]);
        }

Answer 1

您的问题暗示您实际上想要修改 $_SESSION 变量的内容，但这似乎不是一个好主意，因为每当调用脚本时，您最终都会一次又一次地添加斜杠（只是没有看到你所有代码的观察）。

此外，您不应使用 addslashes 转义数据库，因为每个数据库（或数据库抽象层）都有自己的转义数据方式（例如 mysql_real_escape_string 或 PDO 准备语句）。

另外，$_SESSION 和数据库是保存数据的不同方式，很可能将它们混合是一个糟糕的设计选择。

评论后编辑...

如果您想将所有这些变量放入数据库中，并且在此之前它们位于$_SESSION（如前所述可能不是最好的主意），并且您正在使用mysql php module，那么您可以做类似的事情：

$db_names=array(
    "comments",
    "employee_id",
    "approved_by",
    "full_name",
    "first_name",
    "last_name"
);
$clean=array();
foreach($db_names as $name)
    $clean[$name]=mysql_real_escape_string($_SESSION[$db_name]);
mysql_query("
        INSERT INTO comments_table 
        (
            comments,
            employee_id,
            approved_by,
            full_name,
            first_name,
            last_name
        )
        VALUES
        (
            '{$clean["comments"]}',
            '{$clean["employee_id"]}',
            '{$clean["approved_by"]}',
            '{$clean["full_name"]}',
            '{$clean["first_name"]}',
            '{$clean["last_name"]}'
        )
");

但是，最好不要使用mysql模块，而是使用mysqli或PDO。每个都有不同的（并且由于多种原因更好）转义字符串的方法。

Answer 2

这里有一些问题：

1. 您正在将$_SESSION 中的值复制到新变量中。
2. 您将键传递给addslashes()，但您将值放入数组值中。
3. foreach() 将数组中的值复制到 $key 和 $value，因此您正在对副本进行操作。

您应该可以为此使用引用，但我认为跳过它们会更清楚。

$strip_fields = array(
        'comments', 'employee_id', 'approved_by', 'delivery_email', 
        'full_name', 'first_name', 'last_name']
    );

foreach($strip_fields as $key) {
    $_SESSION[$key] = addslashes($_SESSION[$key]);
}

Answer 3

不要使用addslashes() 来为 SQL 查询转义值！（抱歉大喊大叫）

对于 MySQL，您的选择是mysql_real_escape_string()，但其他引擎有自己的转义函数。如果您尝试进行 SQL 注入攻击，addslashes() 非常容易被“愚弄”。

您能做的最好的事情不是逃避$_SESSION 本身，而是创建一个副本，并使用array_map() 和mysql_real_escape_string()。这样您也可以保留原始的未转义版本。

$escaped_SESSION=array_map('mysql_real_escape_string', $_SESSION);

其他人已经解释了为什么foreach 不是操作数组的最佳选择。它适用于您正在运行它的阵列的副本。 array_map() 将对数组的所有元素应用回调，并返回结果数组。

Answer 4

$array = array('comment' => $_SESSION['comment'], 'employee_id' => $_SESSION['employee_id']);  // other keys of session

foreach(array_keys($array) as $value){
    $array[$value] = addslashes($array[$value]);
}

使用 $array 而不是使用 $_SESSION。

Answer 5

您需要将结果值存储回您正在回显的值中

$strip_fields = array($_SESSION['comments'],$_SESSION['employee_id'],$_SESSION['approved_by'],$_SESSION['delivery_email'],$_SESSION['full_name'],$_SESSION['first_name'],$_SESSION['last_name']);

    foreach($strip_fields as $key => $value) {
        $strip_fields[$key] = addslashes($value); // Store it back into the strip_fields var
    }

正如@Gaurav 所说，您要清理数组数据，而不是索引/键。