Como escapar strings no SQL Server usando PHP?

Question 1

Estou procurando uma alternativa mysql_real_escape_string()para o SQL Server. É a addslashes()minha melhor opção ou existe outra função alternativa que pode ser usada?

Uma alternativa para mysql_error()também seria útil.

Question 2

addslashes()não é totalmente adequado, mas o pacote mssql do PHP não oferece nenhuma alternativa decente. A solução feia, mas totalmente geral, é codificar os dados como um bytestring hexadecimal, ou seja,

$unpacked = unpack('H*hex', $data);
mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (0x' . $unpacked['hex'] . ')
');

Abstrato, isso seria:

function mssql_escape($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (' . mssql_escape($somevalue) . ')
');

mysql_error()equivalente é mssql_get_last_message().

Question 3

function ms_escape_string($data) {
        if ( !isset($data) or empty($data) ) return '';
        if ( is_numeric($data) ) return $data;

        $non_displayables = array(
            '/%0[0-8bcef]/',            // url encoded 00-08, 11, 12, 14, 15
            '/%1[0-9a-f]/',             // url encoded 16-31
            '/[\x00-\x08]/',            // 00-08
            '/\x0b/',                   // 11
            '/\x0c/',                   // 12
            '/[\x0e-\x1f]/'             // 14-31
        );
        foreach ( $non_displayables as $regex )
            $data = preg_replace( $regex, '', $data );
        $data = str_replace("'", "''", $data );
        return $data;
    }

Parte do código aqui foi roubado do CodeIgniter. Funciona bem e é uma solução limpa.

EDIT: Existem muitos problemas com esse trecho de código acima. Por favor, não use isso sem ler os comentários para saber o que são. Melhor ainda, por favor, não use isso. As consultas parametrizadas são seus amigos: http://php.net/manual/en/pdo.prepared-statements.php

Question 4

Por que você se incomodaria em escapar de qualquer coisa quando você pode usar parâmetros em sua consulta ?!

sqlsrv_query(
    $connection, 
    'UPDATE some_table SET some_field = ? WHERE other_field = ?', 
    array($_REQUEST['some_field'], $_REQUEST['id'])
)

Ele funciona bem em seleções, exclusões e atualizações, independentemente de seus parâmetros de valores serem nullou não. Faça uma questão de princípio - Não concatene SQL e você estará sempre seguro e suas consultas serão lidas muito melhor.

http://php.net/manual/en/function.sqlsrv-query.php

Question 5

Você pode dar uma olhada na Biblioteca PDO . Você pode usar instruções preparadas com PDO, que automaticamente escapará de quaisquer caracteres inválidos em suas strings se você fizer as instruções preparadas corretamente. Isso é apenas para PHP 5, eu acho.

Question 6

Outra maneira de lidar com aspas simples e duplas é:

function mssql_escape($str)
{
    if(get_magic_quotes_gpc())
    {
        $str = stripslashes($str);
    }
    return str_replace("'", "''", $str);
}

Question 7

Para escapar das aspas simples e duplas, você precisa dobrá-las:

$value = 'This is a quote, "I said, 'Hi'"';

$value = str_replace( "'", "''", $value );

$value = str_replace( '"', '""', $value );

$query = "INSERT INTO TableName ( TextFieldName ) VALUES ( '$value' ) ";

etc ...

e atribuição: caractere de escape no Microsoft SQL Server 2000

Question 8

Depois de lutar com isso por horas, eu encontrei uma solução que parece quase a melhor.

A resposta do caos de converter valores em hexstring não funciona com todos os tipos de dados, especificamente com colunas datetime.

Eu uso PHP's PDO::quote(), mas como vem com PHP, PDO::quote()não tem suporte para MS SQL Server e retorna FALSE. A solução para que funcionasse era baixar alguns pacotes da Microsoft:

Drivers Microsoft 3.0 para PHP para SQL Server (SQLSRV30.EXE): Baixe e siga as instruções de instalação.
Cliente nativo do Microsoft® SQL Server® 2012 : Pesquise o cliente nativo em toda a página. Mesmo sendo 2012, estou usando-o para me conectar ao SQL Server 2008 (instalar o 2008 Native Client não funcionou). Baixar e instalar.

Depois disso, você pode se conectar em PHP com PDO usando um DSN como o exemplo a seguir:

sqlsrv:Server=192.168.0.25; Database=My_Database;

O uso dos parâmetros UIDe PWDno DSN não funcionou, então o nome de usuário e a senha são passados como o segundo e o terceiro parâmetros no construtor PDO ao criar a conexão. Agora você pode usar PHP PDO::quote(). Aproveitar.

Question 9

Uma resposta de 22-02-2009T121000 pelo caos do usuário não se aplica a todas as perguntas.

Por exemplo, "CREATE LOGIN [0x6f6c6f6c6f] FROM WINDOWS" apresentará uma exceção.

PS: veja o driver do SQL Server para PHP, http://msdn.microsoft.com/library/cc296181%28v=sql.90%29.aspx e a função sqlsrv_prepare, que pode vincular parâmetros.

PSS: O que também não o ajudou com a consulta acima;)

Question 10

Aviso: Esta função foi REMOVIDA no PHP 7.0.0.

http://php.net/manual/en/function.mssql-query.php

Para quem ainda usa essas funções mssql_ *, lembre-se de que elas foram removidas do PHP a partir da v7.0.0. Então, isso significa que você eventualmente terá que reescrever seu código de modelo para usar a biblioteca PDO, sqlsrv_ * etc. Se você estiver procurando por algo com um método "citando / escapando", eu recomendaria PDO.

Alternativas para esta função incluem: PDO :: query (), sqlsrv_query () e odbc_exec ()

Question 11

Se você estiver usando PDO, você pode usar o PDO::quotemétodo.

Question 12

Para a conversão para obter os valores hexadecimais em SQL de volta para ASCII, aqui está a solução que encontrei (usando a função do caos do usuário para codificar em hexadecimal)

function hexEncode($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

function hexDecode($hex) {
    $str = '';
    for ($i=0; $i<strlen($hex); $i += 2)
        $str .= chr(hexdec(substr($hex, $i, 2)));
    return $str;
}

$stringHex = hexEncode('Test String');
var_dump($stringHex);
$stringAscii = hexDecode($stringHex);
var_dump($stringAscii);

Question 13

É melhor também escapar das palavras reservadas do SQL. Por exemplo:

function ms_escape_string($data) {
    if (!isset($data) or empty($data))
        return '';

    if (is_numeric($data))
        return $data;

    $non_displayables = array(
        '/%0[0-8bcef]/',        // URL encoded 00-08, 11, 12, 14, 15
        '/%1[0-9a-f]/',         // url encoded 16-31
        '/[\x00-\x08]/',        // 00-08
        '/\x0b/',               // 11
        '/\x0c/',               // 12
        '/[\x0e-\x1f]/',        // 14-31
        '/\27/'
    );
    foreach ($non_displayables as $regex)
        $data = preg_replace( $regex, '', $data);
    $reemplazar = array('"', "'", '=');
    $data = str_replace($reemplazar, "*", $data);
    return $data;
}

Question 14

Tenho usado isso como uma alternativa de mysql_real_escape_string():

function htmlsan($htmlsanitize){
    return $htmlsanitize = htmlspecialchars($htmlsanitize, ENT_QUOTES, 'UTF-8');
}
$data = "Whatever the value's is";
$data = stripslashes(htmlsan($data));

Question 15

Você poderia rolar sua própria versão mysql_real_escape_string, (e melhorá-lo) com a seguinte expressão regular: [\000\010\011\012\015\032\042\047\134\140]. Isso cuida dos seguintes caracteres: nulo, backspace, tabulação horizontal, nova linha, retorno de carro, substituto, aspas duplas, aspas simples, barra invertida, acento grave. Backspace e tabulação horizontal não são suportados por mysql_real_escape_string.

Answer 1

89

Estou procurando uma alternativa mysql_real_escape_string()para o SQL Server. É a addslashes()minha melhor opção ou existe outra função alternativa que pode ser usada?

Uma alternativa para mysql_error()também seria útil.

php sql-server escaping input-sanitization Clique em votar positivamente
fonte

2

Para mim, não é uma pergunta duplicada porque se refere ao caso específico de MSSQL que não tem um PDO oficial relacionado

Pierre de LESPINAY

A função mysql_real_escape_string () tornou-se obsoleta no PHP 5.5.0 e foi removida no PHP 7.0.0 .

Peter Mortensen

Answer 2

2

Para mim, não é uma pergunta duplicada porque se refere ao caso específico de MSSQL que não tem um PDO oficial relacionado

Pierre de LESPINAY

Answer 3

A função mysql_real_escape_string () tornou-se obsoleta no PHP 5.5.0 e foi removida no PHP 7.0.0 .

Peter Mortensen

Answer 4

74

addslashes()não é totalmente adequado, mas o pacote mssql do PHP não oferece nenhuma alternativa decente. A solução feia, mas totalmente geral, é codificar os dados como um bytestring hexadecimal, ou seja,

$unpacked = unpack('H*hex', $data);
mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (0x' . $unpacked['hex'] . ')
');

Abstrato, isso seria:

function mssql_escape($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (' . mssql_escape($somevalue) . ')
');

mysql_error()equivalente é mssql_get_last_message().

caos
fonte

1

Ops, é SELECT SCOPE_IDENTITY ()!

Bryan Rehbein,

4

@genio: Mmm, ótimo, exceto que realmente é. Suponho que você não explicaria o que considera ser o problema.

caos,

3

Você já tentou isso com colunas datetime? Estou recebendo este erro:

SQLSTATE[22007]: Invalid datetime format: 210 [Microsoft][ODBC SQL Server Driver][SQL Server]Conversion failed when converting datetime from binary/varbinary string.

acredito que este método pode ser correto apenas se funcionar com todos os tipos de dados MSSQL.

Alejandro García Iglesias

1

O conteúdo da mssql_escape()função retornada não está fazendo isso para mim. A exibição de texto depois de fazer uma seleção fica 0x4a2761696d65206269656e206c652063686f636f6c6174assim ilegível.

Jeff Noel

3

@JeffNoel Você provavelmente está envolvendo a string com aspas simples ou duplas. Como o item é escapado em hexadecimal, as aspas não são necessárias. O SQL Server deve converter o valor hexadecimal em algo que o banco de dados entenda.

danielson317,

Answer 5

1

Ops, é SELECT SCOPE_IDENTITY ()!

Bryan Rehbein,

Answer 6

4

@genio: Mmm, ótimo, exceto que realmente é. Suponho que você não explicaria o que considera ser o problema.

caos,

Answer 7

3

Você já tentou isso com colunas datetime? Estou recebendo este erro:

SQLSTATE[22007]: Invalid datetime format: 210 [Microsoft][ODBC SQL Server Driver][SQL Server]Conversion failed when converting datetime from binary/varbinary string.

acredito que este método pode ser correto apenas se funcionar com todos os tipos de dados MSSQL.

Alejandro García Iglesias

Answer 8

1

O conteúdo da mssql_escape()função retornada não está fazendo isso para mim. A exibição de texto depois de fazer uma seleção fica 0x4a2761696d65206269656e206c652063686f636f6c6174assim ilegível.

Jeff Noel

Answer 9

3

@JeffNoel Você provavelmente está envolvendo a string com aspas simples ou duplas. Como o item é escapado em hexadecimal, as aspas não são necessárias. O SQL Server deve converter o valor hexadecimal em algo que o banco de dados entenda.

danielson317,

Answer 10

40

function ms_escape_string($data) {
        if ( !isset($data) or empty($data) ) return '';
        if ( is_numeric($data) ) return $data;

        $non_displayables = array(
            '/%0[0-8bcef]/',            // url encoded 00-08, 11, 12, 14, 15
            '/%1[0-9a-f]/',             // url encoded 16-31
            '/[\x00-\x08]/',            // 00-08
            '/\x0b/',                   // 11
            '/\x0c/',                   // 12
            '/[\x0e-\x1f]/'             // 14-31
        );
        foreach ( $non_displayables as $regex )
            $data = preg_replace( $regex, '', $data );
        $data = str_replace("'", "''", $data );
        return $data;
    }

Parte do código aqui foi roubado do CodeIgniter. Funciona bem e é uma solução limpa.

EDIT: Existem muitos problemas com esse trecho de código acima. Por favor, não use isso sem ler os comentários para saber o que são. Melhor ainda, por favor, não use isso. As consultas parametrizadas são seus amigos: http://php.net/manual/en/pdo.prepared-statements.php

gênio
fonte

1

Por que você precisa do preg_replace? Não é o str_replacesuficiente?

Gabe

gabe: O preg_replace neste caso era para me permitir usar os intervalos fornecidos para mim em classes de caracteres de expressões regulares. Haveria muito mais substituições de string neste caso contrário.

genio

7

-1. Não é responsabilidade de uma função de cotação mutilar os dados - tudo o que ela deve fazer é garantir que a string esteja em um formato que possa ser adicionado a uma instrução SQL e sobreviver sem modificações.

cHao de

6

Desculpe, mas isso é errado a partir da primeira linha de código - empty($value)vai voltar truenão só para '', mas também para null, 0e '0'! Você retornaria uma string vazia em todos esses casos.

Nux

Eu votei a favor, acho que é uma função perfeitamente adequada, contanto que você esteja totalmente ciente dos problemas acima. No entanto, eu o chamaria de ms_escape_and_strip_string, para que qualquer outra pessoa que trabalhasse nele veria que ele executa as duas tarefas. Ter uma string vazia retornada em vários casos é bom, contanto que você considere isso, a menos que eu esteja apenas perdendo um ponto importante aqui. Se isso não atender às suas necessidades, você sempre pode pegar essa linha e substituí-la por uma lógica que se adapte às suas necessidades.

NateDSaint

Answer 11

1

Por que você precisa do preg_replace? Não é o str_replacesuficiente?

Gabe

Answer 12

gabe: O preg_replace neste caso era para me permitir usar os intervalos fornecidos para mim em classes de caracteres de expressões regulares. Haveria muito mais substituições de string neste caso contrário.

genio

Answer 13

7

-1. Não é responsabilidade de uma função de cotação mutilar os dados - tudo o que ela deve fazer é garantir que a string esteja em um formato que possa ser adicionado a uma instrução SQL e sobreviver sem modificações.

cHao de

Answer 14

6

Desculpe, mas isso é errado a partir da primeira linha de código - empty($value)vai voltar truenão só para '', mas também para null, 0e '0'! Você retornaria uma string vazia em todos esses casos.

Nux

Answer 15

Eu votei a favor, acho que é uma função perfeitamente adequada, contanto que você esteja totalmente ciente dos problemas acima. No entanto, eu o chamaria de ms_escape_and_strip_string, para que qualquer outra pessoa que trabalhasse nele veria que ele executa as duas tarefas. Ter uma string vazia retornada em vários casos é bom, contanto que você considere isso, a menos que eu esteja apenas perdendo um ponto importante aqui. Se isso não atender às suas necessidades, você sempre pode pegar essa linha e substituí-la por uma lógica que se adapte às suas necessidades.

NateDSaint

Answer 16

16

Por que você se incomodaria em escapar de qualquer coisa quando você pode usar parâmetros em sua consulta ?!

sqlsrv_query(
    $connection, 
    'UPDATE some_table SET some_field = ? WHERE other_field = ?', 
    array($_REQUEST['some_field'], $_REQUEST['id'])
)

Ele funciona bem em seleções, exclusões e atualizações, independentemente de seus parâmetros de valores serem nullou não. Faça uma questão de princípio - Não concatene SQL e você estará sempre seguro e suas consultas serão lidas muito melhor.

http://php.net/manual/en/function.sqlsrv-query.php

Konstantin
fonte

Esta é a abordagem correta. Você sempre deve usar parâmetros em vez de consultas ad hoc. No entanto, o OP não está usando os drivers sqlsrv. Ele está usando drivers mssql. portanto, o link a ser usado por aqueles que estão presos aos drivers sqlsrv é http://php.net/manual/en/function.mssql-query.php .

smulholland2

1

@ smulholland2 Você quis dizer "ou aqueles de vocês travaram usando drivers MSSQL "

Konstantin

Um cenário pode ser se você deseja gerar um arquivo de instruções INSERT para usar em um cenário de migração de dados.

Gary Reckard

Answer 17

Esta é a abordagem correta. Você sempre deve usar parâmetros em vez de consultas ad hoc. No entanto, o OP não está usando os drivers sqlsrv. Ele está usando drivers mssql. portanto, o link a ser usado por aqueles que estão presos aos drivers sqlsrv é http://php.net/manual/en/function.mssql-query.php .

smulholland2

Answer 18

1

@ smulholland2 Você quis dizer "ou aqueles de vocês travaram usando drivers MSSQL "

Konstantin

Answer 19

Um cenário pode ser se você deseja gerar um arquivo de instruções INSERT para usar em um cenário de migração de dados.

Gary Reckard

Answer 20

11

Você pode dar uma olhada na Biblioteca PDO . Você pode usar instruções preparadas com PDO, que automaticamente escapará de quaisquer caracteres inválidos em suas strings se você fizer as instruções preparadas corretamente. Isso é apenas para PHP 5, eu acho.

alex
fonte

Com alguns dos comportamentos mesquinhos que vi fora do PDO, eu teria que fazer alguns testes sérios antes de confiar nele para escapar todos os dados corretamente.

caos

@Chaos realmente? Não estou ciente disso .. você tem um link para um artigo?

alex

O que eu estava pensando era no problema que esse cara estava tendo ontem com o PDO. Coisas de transações não relacionadas, mas inexpressivas. Combine isso com todo o histórico de dados inadequados escapando no PHP (php.net dizendo às pessoas para usar addslashes ()!) E eu fico muito desconfiado.

caos

2

Eu amo PDO e tentei isso primeiro, mas aquele para MSSQL (no Unix, baseado em dblib) às vezes falha em mim (falha de segmentação), é por isso que recorri ao mssql_escape definido acima.

lapo

Obrigado pelo seu comentário, @Iapo. Eu estava pensando em mudar para PDO para um projeto mssql - especificamente para conseguir escapar - mas você me salvou do problema.

Winfield Trail

Answer 21

Com alguns dos comportamentos mesquinhos que vi fora do PDO, eu teria que fazer alguns testes sérios antes de confiar nele para escapar todos os dados corretamente.

caos

Answer 22

@Chaos realmente? Não estou ciente disso .. você tem um link para um artigo?

alex

Answer 23

O que eu estava pensando era no problema que esse cara estava tendo ontem com o PDO. Coisas de transações não relacionadas, mas inexpressivas. Combine isso com todo o histórico de dados inadequados escapando no PHP (php.net dizendo às pessoas para usar addslashes ()!) E eu fico muito desconfiado.

caos

Answer 24

2

Eu amo PDO e tentei isso primeiro, mas aquele para MSSQL (no Unix, baseado em dblib) às vezes falha em mim (falha de segmentação), é por isso que recorri ao mssql_escape definido acima.

lapo

Answer 25

Obrigado pelo seu comentário, @Iapo. Eu estava pensando em mudar para PDO para um projeto mssql - especificamente para conseguir escapar - mas você me salvou do problema.

Winfield Trail

Answer 26

4

Outra maneira de lidar com aspas simples e duplas é:

function mssql_escape($str)
{
    if(get_magic_quotes_gpc())
    {
        $str = stripslashes($str);
    }
    return str_replace("'", "''", $str);
}

Raja Bilal Ahmed
fonte

get_magic_quites_gpc foi DESCONTINUADO a partir do PHP 5.3.0 e REMOVIDO a partir do PHP 5.4.0. Veja php.net/manual/en/info.configuration.php#ini.magic-quotes-gpc

Jan

Answer 27

get_magic_quites_gpc foi DESCONTINUADO a partir do PHP 5.3.0 e REMOVIDO a partir do PHP 5.4.0. Veja php.net/manual/en/info.configuration.php#ini.magic-quotes-gpc

Jan

Answer 28

Para escapar das aspas simples e duplas, você precisa dobrá-las:

$value = 'This is a quote, "I said, 'Hi'"';

$value = str_replace( "'", "''", $value );

$value = str_replace( '"', '""', $value );

$query = "INSERT INTO TableName ( TextFieldName ) VALUES ( '$value' ) ";

etc ...

e atribuição: caractere de escape no Microsoft SQL Server 2000

Answer 29

Depois de lutar com isso por horas, eu encontrei uma solução que parece quase a melhor.

A resposta do caos de converter valores em hexstring não funciona com todos os tipos de dados, especificamente com colunas datetime.

Eu uso PHP's PDO::quote(), mas como vem com PHP, PDO::quote()não tem suporte para MS SQL Server e retorna FALSE. A solução para que funcionasse era baixar alguns pacotes da Microsoft:

Drivers Microsoft 3.0 para PHP para SQL Server (SQLSRV30.EXE): Baixe e siga as instruções de instalação.
Cliente nativo do Microsoft® SQL Server® 2012 : Pesquise o cliente nativo em toda a página. Mesmo sendo 2012, estou usando-o para me conectar ao SQL Server 2008 (instalar o 2008 Native Client não funcionou). Baixar e instalar.

Depois disso, você pode se conectar em PHP com PDO usando um DSN como o exemplo a seguir:

sqlsrv:Server=192.168.0.25; Database=My_Database;

O uso dos parâmetros UIDe PWDno DSN não funcionou, então o nome de usuário e a senha são passados como o segundo e o terceiro parâmetros no construtor PDO ao criar a conexão. Agora você pode usar PHP PDO::quote(). Aproveitar.

Answer 30

Uma resposta de 22-02-2009T121000 pelo caos do usuário não se aplica a todas as perguntas.

Por exemplo, "CREATE LOGIN [0x6f6c6f6c6f] FROM WINDOWS" apresentará uma exceção.

PS: veja o driver do SQL Server para PHP, http://msdn.microsoft.com/library/cc296181%28v=sql.90%29.aspx e a função sqlsrv_prepare, que pode vincular parâmetros.

PSS: O que também não o ajudou com a consulta acima;)

Answer 31

Aviso: Esta função foi REMOVIDA no PHP 7.0.0.

http://php.net/manual/en/function.mssql-query.php

Para quem ainda usa essas funções mssql_ *, lembre-se de que elas foram removidas do PHP a partir da v7.0.0. Então, isso significa que você eventualmente terá que reescrever seu código de modelo para usar a biblioteca PDO, sqlsrv_ * etc. Se você estiver procurando por algo com um método "citando / escapando", eu recomendaria PDO.

Alternativas para esta função incluem: PDO :: query (), sqlsrv_query () e odbc_exec ()

Answer 32

0

Se você estiver usando PDO, você pode usar o PDO::quotemétodo.

Fredric Yeung
fonte

Answer 33

Para a conversão para obter os valores hexadecimais em SQL de volta para ASCII, aqui está a solução que encontrei (usando a função do caos do usuário para codificar em hexadecimal)

function hexEncode($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

function hexDecode($hex) {
    $str = '';
    for ($i=0; $i<strlen($hex); $i += 2)
        $str .= chr(hexdec(substr($hex, $i, 2)));
    return $str;
}

$stringHex = hexEncode('Test String');
var_dump($stringHex);
$stringAscii = hexDecode($stringHex);
var_dump($stringAscii);

Answer 34

É melhor também escapar das palavras reservadas do SQL. Por exemplo:

function ms_escape_string($data) {
    if (!isset($data) or empty($data))
        return '';

    if (is_numeric($data))
        return $data;

    $non_displayables = array(
        '/%0[0-8bcef]/',        // URL encoded 00-08, 11, 12, 14, 15
        '/%1[0-9a-f]/',         // url encoded 16-31
        '/[\x00-\x08]/',        // 00-08
        '/\x0b/',               // 11
        '/\x0c/',               // 12
        '/[\x0e-\x1f]/',        // 14-31
        '/\27/'
    );
    foreach ($non_displayables as $regex)
        $data = preg_replace( $regex, '', $data);
    $reemplazar = array('"', "'", '=');
    $data = str_replace($reemplazar, "*", $data);
    return $data;
}

Answer 35

Tenho usado isso como uma alternativa de mysql_real_escape_string():

function htmlsan($htmlsanitize){
    return $htmlsanitize = htmlspecialchars($htmlsanitize, ENT_QUOTES, 'UTF-8');
}
$data = "Whatever the value's is";
$data = stripslashes(htmlsan($data));

Answer 36

Você poderia rolar sua própria versão mysql_real_escape_string, (e melhorá-lo) com a seguinte expressão regular: [\000\010\011\012\015\032\042\047\134\140]. Isso cuida dos seguintes caracteres: nulo, backspace, tabulação horizontal, nova linha, retorno de carro, substituto, aspas duplas, aspas simples, barra invertida, acento grave. Backspace e tabulação horizontal não são suportados por mysql_real_escape_string.

Como escapar strings no SQL Server usando PHP?

Respostas: