array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'de', ), 'this' => array ( 0 => 'mysqli.real-escape-string.php', 1 => 'mysqli::real_escape_string', 2 => 'Maskiert Sonderzeichen in einer Zeichenkette zur Verwendung in einer SQL-Anweisung, wobei der aktuelle Zeichensatz der Verbindung berücksichtigt wird', ), 'up' => array ( 0 => 'class.mysqli.php', 1 => 'mysqli', ), 'prev' => array ( 0 => 'mysqli.real-connect.php', 1 => 'mysqli::real_connect', ), 'next' => array ( 0 => 'mysqli.real-query.php', 1 => 'mysqli::real_query', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'de', 'path' => 'reference/mysqli/mysqli/real-escape-string.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

mysqli::real_escape_string

mysqli_real_escape_string

(PHP 5, PHP 7, PHP 8)

mysqli::real_escape_string -- mysqli_real_escape_string Maskiert Sonderzeichen in einer Zeichenkette zur Verwendung in einer SQL-Anweisung, wobei der aktuelle Zeichensatz der Verbindung berücksichtigt wird

Beschreibung

Objektorientierter Stil

public mysqli::real_escape_string(string $string): string

Prozeduraler Stil

mysqli_real_escape_string(mysqli $mysql, string $string): string

Diese Funktion wird verwendet, um eine zulässige SQL-Zeichenkette zu erstellen, die in einer SQL-Anweisung verwendet werden kann. Die angegebene Zeichenkette wird kodiert, um eine maskierte SQL-Zeichenkette zu erzeugen, wobei der aktuelle Zeichensatz der Verbindung zugrunde gelegt wird.

Achtung

Sicherheit: Der Standardzeichensatz

Damit sich der Zeichensatz auf mysqli_real_escape_string() auswirkt, muss er entweder auf der Server-Ebene oder mit der API-Funktion mysqli_set_charset() gesetzt werden. Weitere Informationen zu Zeichensätzen sind im Abschnitt Konzepte zu finden.

Parameter-Liste

mysql

Nur bei prozeduralem Aufruf: ein von mysqli_connect() oder mysqli_init() zurückgegebenes mysqli-Objekt.

string

Die Zeichenkette, die maskiert werden soll

Folgende Zeichen werden kodiert: NUL (ASCII 0), \n, \r, \, ', " und CTRL+Z.

Rückgabewerte

Gibt eine maskierte Zeichenkette zurück.

Beispiele

Beispiel #1 mysqli::real_escape_string()-Beispiel

Objektorientierter Stil

<?php

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("localhost", "my_user", "my_password", "world");

$city = "'s-Hertogenbosch";

/* diese Abfrage mit maskiertem $city funktioniert */
$query = sprintf("SELECT CountryCode FROM City WHERE name='%s'",
$mysqli->real_escape_string($city));
$result = $mysqli->query($query);
printf("Select gab %d Zeilen zurück.\n", $result->num_rows);

/* diese Abfrage schlägt fehl, weil wir $city nicht maskiert haben */
$query = sprintf("SELECT CountryCode FROM City WHERE name='%s'", $city);
$result = $mysqli->query($query);

Prozeduraler Stil

<?php

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = mysqli_connect("localhost", "my_user", "my_password", "world");

$city = "'s-Hertogenbosch";

/* diese Abfrage mit maskiertem $city funktioniert */
$query = sprintf("SELECT CountryCode FROM City WHERE name='%s'",
mysqli_real_escape_string($mysqli, $city));
$result = mysqli_query($mysqli, $query);
printf("Select gab %d Zeilen zurück.\n", mysqli_num_rows($result));

/* diese Abfrage schlägt fehl, weil wir $city nicht maskiert haben */
$query = sprintf("SELECT CountryCode FROM City WHERE name='%s'", $city);
$result = mysqli_query($mysqli, $query);

Oben gezeigte Beispiele erzeugen eine ähnliche Ausgabe wie:

Select gab 1 Zeilen zurück.

Fatal error: Uncaught mysqli_sql_exception: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 's-Hertogenbosch'' at line 1 in...

Siehe auch