使用PDO通过PHP保存到mysql时，字符串会发生变异

This is the sql:

INSERT INTO stepup (target, body) VALUES ('http://test.com/dev-ws/events', '{"username":"Unknown","verb":"answer","object":"http:\/\/localhost\/elgg\/answers\/view\/42954\/q1","context":{"course":"42902","phase":"1","widget_type":"questions","activity_id":"95c48","widget_title":"Wonder moment"},"originalrequest":{"value":{"description":"\u041f\u0440\u043e\u0443\u0447\u0432\u0430\u043d\u0435<\/p>","question_id":42954}},"starttime":"2015-03-26 17:28:57 +0100","endtime":"2015-03-26 17:28:57 +0100"}')

then I do $conn->exec($sql);

but the actual content of body in the DB (mysql) is:

"{\"username\":\"Unknown\",\"verb\":\"answer\",\"object\":\"http://localhost/elgg/answers/view/42954/q1\",\"context\":{\"course\":\"42902\",\"phase\":\"1\",\"widget_type\":\"questions\",\"activity_id\":\"95c48\",\"widget_title\":\"Wonder moment\"},\"originalrequest\":{\"value\":{\"description\":\"u041fu0440u043eu0443u0447u0432u0430u043du0435\",\"question_id\":42954}},\"starttime\":\"2015-03-26 17:28:57 +0100\",\"endtime\":\"2015-03-26 17:28:57 +0100\"}"

So \u is replaced by u :(

What can I do.. I thought that by not "preparing" the SQL, this will stop happening...

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongmeng1868 2015-03-26 18:30
关注
It seems like you are injecting JSON content into an SQL string literal in a query. You probably have SQL-injection security holes, which is a worse problem than \u sequences going missing.

You should use parameterised queries to avoid having to think about escaping rules. For example in PDO:

$url= 'http://test.com/dev-ws/events'; $json= '{"username":"Unknown","verb":"answer","object":"http://localhost/elgg/answers/view/42954/q1","context":{"course":"42902","phase":"1","widget_type":"questions","activity_id":"95c48","widget_title":"Wonder moment"},"originalrequest":{"value":{"description":"\u041f\u0440\u043e\u0443\u0447\u0432\u0430\u043d\u0435","question_id":42954}},"starttime":"2015-03-26 17:28:57 +0100","endtime":"2015-03-26 17:28:57 +0100"}'; $q= $db->prepare('INSERT INTO stepup (target, body) VALUES (?, ?)'); $q->bindParam(1, $url, PDO::PARAM_STR); $q->bindParam(2, $json, PDO::PARAM_STR); $q->execute();
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

使用PDO通过PHP保存到mysql时，字符串会发生变异 mysql php
2015-03-26 16:34

回答 3 已采纳 It seems like you are injecting JSON content into an SQL string literal in a query. You probably h
如何使用PHP函数使用PDO连接到MySQL [关闭] mysql php
2019-08-19 17:03

回答 1 已采纳 1) As referenced by HTMHell, your $config array is local here and I believe this should be delete
使用PDO从PHP无法连接到MySQL mysql php
2014-05-24 13:49

回答 1 已采纳 mysql:host=localhost;dbname=;pizzadb3 Needs to be: mysql:host=localhost;dbname=pizzadb3;
2020年PHP中级面试知识点及答案
2020-12-27 20:02

铁柱同学的博客 value，反转之后，使用isset() 2、implode连接成字符串，直接用strpos判断（php里面字符串取位置速度非常快，尤其是在大数据量的情况下）（3）如何处理脏读 1、隔离级别设置成RC及以上（4）大文件读取和存储 1...
使用PDO MySQL查询将字符串传递给javascript javascript mysql php
2015-02-18 20:12

回答 1 已采纳 Mixing plain PHP with JavaScript may be a hell, because of all these quotes and other characters t
为什么我会收到警告：使用PDO :: fetchColumn时非法字符串偏移？ mysql php
2016-02-19 19:06

回答 1 已采纳 The benefit of using fetchColumn() is that it returns a single value. This can slightly simplify y
PHP和MySql使用PDO'字符串数据，右截断'在PHPMyAdmin中插入图像后出错 mysql php
2013-05-08 17:08

回答 1 已采纳 I personaly prefer not to store images in database but if you need to : check the image size it if
php 编译配置,Php常用编译配置参数说明
2021-03-26 12:16

轮王寺宫的博客当然了在安装之前，你需要安装很多依赖包，否则安装过程会出错，可能还需要单独编译安装一些源码包，具体可根据实际情况而定。此处只针对php的常用参数做说明，其他不做解释。通过./configure --help |less查看其...
单元测试接受字符串参数以创建PDO对象的PHP类 mysql php
2018-07-06 09:43

回答 1 已采纳 Even if you can't inject the PDO instance, there are still ways to unit test this - it just requir
PHP PDO发布字符串列表IN Where子句 mysql php
2016-07-11 01:00

回答 1 已采纳 Your $_POST["idsvar"] is a string, not an array. Use explode to split it to an array at each comma
PHP pdo：使用参数两次时参数号无效？ mysql php
2018-05-31 05:41

回答 3 已采纳 Alternatively, you could change your settings to PDO::ATTR_EMULATE_PREPARES => true. This will
php 木马文件,PHP实现webshell扫描文件木马的方法
2021-03-23 15:37

文明小野花的博客分享给大家供大家参考，具体如下：可扫描 weevelyshell 生成或加密的shell 及各种变异webshell目前仅支持php支持扫描 weevelyshell 生成或加密的shell支持扫描callback一句话shell支持各种php大马PHP web shell ...
PHP PDO将javascript对象（ajax）中的字符串保存为空字段 ajax json mysql php
2013-09-05 04:34

回答 1 已采纳 Massive sigh. The issue is with my javascript, not php. I was testing this out in my api, which se
PHP 编译安装 PHP各参数配置详解
2019-01-09 21:31

yongren_z的博客 php编译安装的基本步骤 //首先要下载一个php的安装包,例如:php-5.6.25.tar.gz, tar zxvf php-5.6.25.tar.gz // 解压php安装包,得到一个php-5.6.25的文件夹 cd php-5.6.25 ./configure //对php的安装进行配置...
PDO 提供错误处理策略以及SQLSTATE各种errorCode状态码
2018-01-10 11:41

Houzhyan的博客 PDO会在statement和database对象上设定简单的错误代号，你可以使用PDO->errorCode() 和PDO->errorInfo() 方法检查错误；如果错误是在对statement对象进行调用时导致的，你就可以在那个对象上使用 PDOStatement
php编译参数详解
2016-04-01 11:08

讲个笑话你别哭的博客 ./configure --prefix=/usr/local/php --enable-fastcgi --enable-force-cgi-redirect --with-config-file-path=/etc --with-zlib --with-mysql --with-xml --with-gd --enable-gd-native-ttf --enable-g
LAMP架构简介与概述及服务安装
2022-02-23 15:30

老汉带你1V5的博客 1、LAMP平台概述（1）LAMP平台概述 LAMP架构是目前成熟的企业网站应用模式之一，指的是...在构建LAMP平台时，各组件的安装顺序依次为Linux，Apache，MySQL，PHP 其中Apache和MySQL的安装并没有严格的顺序要求，而PH
php、python、ruby——web脚本语言的比较
2015-04-21 13:52

enjoyhot的博客本论文试图在如今三种最受欢迎的语言：PHP、Python和Ruby中找到其中的差异、优点、缺点。很明显，他们有他们自己的观点和支持，所以要陈述客观事实并满足一种科学的方法是一项困难的任务。这三种语言将在web应用程序...
hvv准备ing
2024-04-17 23:16

w2v的博客而想要利用有类就要用到魔术方法，使用unserialize()函数将字符串转换为对象，序列化使用serialize()函数将对象转化为字符串 Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，其作用把对象转换成...
没有解决我的问题, 去提问

悬赏问题

¥15 关于#stm32#的问题：CANOpen的PDO同步传输问题
¥20 yolov5自定义Prune报错，如何解决？
¥15 电磁场的matlab仿真
¥15 mars2d在vue3中的引入问题
¥50 h5唤醒支付宝并跳转至向小荷包转账界面
¥15 算法题：数的划分，用记忆化DFS做WA求调
¥15 chatglm-6b应用到django项目中，模型加载失败
¥15 CreateBitmapFromWicBitmap内存释放问题。
¥30 win c++ socket
¥15 C# datagridview 栏位进度

使用PDO通过PHP保存到mysql时，字符串会发生变异

3条回答 默认 最新

悬赏问题

3条回答默认最新