当字符串包含单引号时 PHP preg_replace() 返回 null 但否则有效

Posted 2023-03-24

【中文标题】当字符串包含单引号时 PHP preg_replace() 返回 null 但否则有效

【英文标题】：PHP preg_replace() is returning null when string includes a single quote but works otherwise

【发布时间】：2019-02-07 11:00:05

【问题描述】：

下面的代码很简单。 php 使用 POST 从表单中收集字符串，然后我希望对其进行修剪并运行 preg_replace 函数，该函数将去除除单引号或连字符之外的任何特殊字符。请记住，整个代码可以正常工作，而无需在正则表达式中使用引号或连字符。

preg_replace("/[^\w\s'-]/", '', $raw_lemurName);

然后将这些干净的变量插入数据库。阿帕奇/2.4.37。 MariaDB。

当我将 lemurName 设为“Diademed Sifaka!”之类的字符串时，它会起作用，并返回 'Diademed Sifaka'。

但是，当我将其设为包含单引号的字符串时，例如“Coquerel's Sifaka”，操作未完成且未插入任何信息。

我已经单独测试了正则表达式，它工作正常，似乎当你开始涉及 SQL 和数据库时，它就停止工作了。

值得注意的是：

使用 phpMyAdmin。如果我在其中插入字符串，它可以正常工作，因此我的数据库可以保存这些值。 尝试在各个地方使用 mysqli_real_escape_string()，但没有成功，可能是做错了。 仔细阅读，我认为这与 SQL 不允许插入带有单引号的字符串以及服务器在 post 方法中自动转义单引号有关。

有什么想法吗？

非常感谢。

$raw_lemurName          =    isset($_POST['lemurName']) ? $_POST['lemurName'] : null;

$raw_lemurLat           =    isset($_POST['lemurLat']) ? $_POST['lemurLat'] : null;

$raw_family             =    isset($_POST['family']) ? $_POST['family'] : null;

//下面的正则表达式似乎搞砸了

$c_lemurName            =    trim(preg_replace("/[^\w\s'-]/", '', $raw_lemurName));

$c_lemurLat             =    strtolower(trim(preg_replace('/[^\w\s]/', '', $raw_lemurLat))); 

$c_family               =    trim(preg_replace('/[^\w\s]/', '', $raw_family));

if (isset($_POST['submit'])) 

$query1 = "INSERT INTO `lemurs` (`id`, `lemur`, `latin`, `family`) VALUES (NULL, '$c_lemurName','$c_lemurLat','$c_family')";

$run_query = mysqli_query($connection, $query1);

if($run_query)
    echo "Data has been inserted";

 else 
    echo "Operation Unsuccessful";


    header("location:  index.php");

    return;

【参考方案1】：

这是一个标准的 SQL 注入问题。问题源于您将这些变量纳入查询的方式：

$query1 = "INSERT INTO `lemurs` (`id`, `lemur`, `latin`, `family`) VALUES (NULL, '$c_lemurName','$c_lemurLat','$c_family')";

想想这里到底发生了什么，你所做的只是将字符串连接在一起，所以如果$c_lemurName 是' - 那么你的SQL 将变成：

[...] VALUES (NULL, ''', '[...]

这实际上让您了解所谓的“注入攻击”。基本上，恶意用户可以将$c_family 设置为... ');drop table lemurs;-- - 您现在正在执行插入语句，然后是删除表语句，其余的SQL 是注释。

有几种方法可以解决这个问题，最常见的建议方法是查看参数化查询——对于 mysqli 库来说，这必须通过准备好的语句来完成。 PHP docs page 上有一个例子。

【讨论】：

使用了参数化查询，效果很好。干杯。

【参考方案2】：

也替换第二个参数区域的单引号。用这个。

preg_replace("/[^\w\s'-]/", "", $raw_lemurName);

希望它会起作用