Экранирование кавычек

@max74max · Регистрация: 19.01.2012

Студворк — интернет-сервис помощи студентам

Подскажите, пожалуйста, можно ли в таблице MySQL хранить текстовые данные с не закомментированными кавычками, например "Д'артаньян", а не "Д\'артаньян"
Ведь если я использую подготовленные запросы, тогда mysqli_escape_string уже не нужна? Так получается?
Получается, что я храню в БД данные "как есть", без экранирования, а их обработкой занимаюсь на выводе из БД?

@Jewbacabra · 15.02.2021, 13:22

Сообщение от max74max

можно ли в таблице MySQL хранить текстовые данные с не закомментированными кавычками, например "Д'артаньян", а не "Д\'артаньян"

Не только можно, но и нужно именно так поступать

Сообщение от max74max

Ведь если я использую подготовленные запросы, тогда mysqli_escape_string уже не нужна? Так получается?

да

Сообщение от max74max

Получается, что я храню в БД данные "как есть", без экранирования, а их обработкой занимаюсь на выводе из БД?

Экранирование никаких лишних данных не добавляет, оно нужно чтоб отличать некоторые специальные символы (например ' как ограничитель строки) от этого же символа, но как части строки.

@max74max · 15.02.2021, 14:28 **[ТС]**

Сообщение от Jewbacabra

Экранирование никаких лишних данных не добавляет, оно нужно чтоб отличать некоторые специальные символы (например ' как ограничитель строки) от этого же символа, но как части строки.

А не сломается ли тогда подготовленный запрос через bind_param, если в части строки будет символ ' именно как ччасть троки, а не ограничитель. Ведь mysqli_escape_string я уже не использую?

Метя просто смутил тот момент, что CMS DLE Engine хранит в БД текст с кавычками (как частью строки) ставя перед ними \ Получается \ был добавлен не через mysqli_escape_string, а через addslashes() Тогда получается в таблице данные нужно хранить именно с addslashes(), чтобы разделять где часть строки, а где ограничитель в коде.

Во такое мини-рассуждение у меня получилось. Поправьте, пожалуйста, где я не прав.

@Jewbacabra · 15.02.2021, 14:36

Сообщение от max74max

А не сломается ли тогда подготовленный запрос через bind_param, если в части строки будет символ ' именно как ччасть троки

А почему должен сломаться? Без использования подготовленных выражений данные идут вместе со структурой запроса, поэтому и нужны всякие экранирования, чтобы понимать где часть строки, а где структуры запроса. В подготовленных выражениях структура отдельно, данные отдельно.

Сообщение от max74max

Метя просто смутил тот момент, что CMS DLE Engine хранит в БД текст с кавычками

Не нужно ориентироваться на код всяких поделий сомнительного качества. Хороший код - Symfony, Zend Framework (переименован в Laminas) и Laravel.

Сообщение от max74max

\ был добавлен не через mysqli_escape_string, а через addslashes()

Всё равно через что добавлен. Если проэкранировать 1 раз, то в бд будет оригинальный текст

@max74max · 15.02.2021, 15:05 **[ТС]**

Спасибо, с подготовленными выражениями и как они работают, я разобрался.
Интересует еже такой вопрос. как правильно обработать полученные данные на выводе.

Например, в таблице храниться такая запись varchar или text
"У Д'Артаньяна > яблок чем у Арамиса"

Допустим, по как каким-то причинам, нужно данную запись вывести в пользовательскую часть и отобразить на кнопки

Тогда я вывожу запись через $stmt = $mysqli->prepare("SELECT * FROM ************* и т.д.

заношу в переменную $text_button

и вывожу на сайте в

<input type="submit" value="<?= $text_button; ?>">

Что тогда произойдет? html разметка сломается?
Как это исправить? И достаточно ли будет только htmlentities() ?

@Jewbacabra · 15.02.2021, 15:19

max74max, тут целая тема была недавно. Если кратко htmlentities($raw, ENT_QUOTES, 'UTF-8') хватит в 99% случаев. Но при подстановке в аттрибуты, например, href (например <a href="javascript:alert('1111')">) этого может не хватить.
А лучше всего не собирать html руками, а воспользоваться готовым шаблонизатором

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	Установка Emscripten SDK (emsdk) и CMake на Windows для сборки C и C++ приложений в WebAssembly (Wasm) 8Observer8 30.01.2026 Чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. Система контроля версиями Git. . .	Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .
Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .

@max74max 0 / 0 / 0 Регистрация: 19.01.2012 Сообщений: 74

	Экранирование кавычек 15.02.2021, 13:01. Показов 3221. Ответов 5 Метки нет (Все метки) Подскажите, пожалуйста, можно ли в таблице MySQL хранить текстовые данные с не закомментированными кавычками, например "Д'артаньян", а не "Д\'артаньян" Ведь если я использую подготовленные запросы, тогда mysqli_escape_string уже не нужна? Так получается? Получается, что я храню в БД данные "как есть", без экранирования, а их обработкой занимаюсь на выводе из БД? 0

@max74max 0 / 0 / 0 Регистрация: 19.01.2012 Сообщений: 74
	15.02.2021, 15:05 [ТС]
	Спасибо, с подготовленными выражениями и как они работают, я разобрался. Интересует еже такой вопрос. как правильно обработать полученные данные на выводе. Например, в таблице храниться такая запись varchar или text "У Д'Артаньяна > яблок чем у Арамиса" Допустим, по как каким-то причинам, нужно данную запись вывести в пользовательскую часть и отобразить на кнопки Тогда я вывожу запись через *$stmt = $mysqli->prepare("SELECT FROM *********** и т.д. заношу в переменную $text_button и вывожу на сайте в <input type="submit" value="<?= $text_button; ?>"> Что тогда произойдет? html разметка сломается? Как это исправить? И достаточно ли будет только htmlentities() ? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	15.02.2021, 15:19
	max74max, тут целая тема была недавно. Если кратко `htmlentities($raw, ENT_QUOTES, 'UTF-8')` хватит в 99% случаев. Но при подстановке в аттрибуты, например, href (например <a href="javascript:alert('1111')">) этого может не хватить. А лучше всего не собирать html руками, а воспользоваться готовым шаблонизатором 0