关于PHP mysql_real_escape_string() 函数对数据库的保护作用 ,预防数据库被攻击的一种手段

最新推荐文章于 2024-05-08 22:42:19 发布
最新推荐文章于 2024-05-08 22:42:19 发布
阅读量863 收藏
点赞数 1
分类专栏: php 文章标签: php 数据库

先说明mysql_real_excape_string()函数的用法
例子1:

<?php
//连接数据库
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 获得用户名 $user 和密码 $pwd 的代码

// 转义用户名和密码,以便在 SQL 中使用
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE user='" . $user . "' AND password='" . $pwd . "'";

// 业务逻辑

mysql_close($con);
?>

一些人常用的一种数据库攻击手段就是利用SQL注入,如果我们没有使用mysql_real_escape_string()函数,结果会怎样?
例子2:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不检查用户名和密码
// 可以是用户输入的任何内容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 业务逻辑

mysql_close($con);
?>

那么,当我们的代码工作时,SQL查询就会变成:

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''

这意味着任何用户无需输入合法的密码即可登陆。

对于这种情况,我们一定要严格的对用户输入的东西进行把关,以保护我们的数据库不被侵入。
例子3:预防数据库被攻击的有效方法

<?php
//自定义检查函数
function check_input($value)
{
    // 去除斜杠
    if (get_magic_quotes_gpc())
      {
      $value = stripslashes($value);
      }
    // 如果不是数字则加引号
    if (!is_numeric($value))
      {
      $value = "'" . mysql_real_escape_string($value) . "'";
      }
    return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

当然,在check_input()方法中可以添加其他自己的业务逻辑,看自己情况咯。

LSGOZJ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 177
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
mysql_real_escape_string()函数作用
weixin_30443075的博客
03-19 498
相关函数:get_magic_quotes_gpc()在PHP5.4中已被丢弃 mysql_real_escape_string()说明这个函数PHP5.5中不建议使用,在将来的版本中将会被丢弃,建议使用: mysqli_real_escape_string() PDO::quote() mysql_real_escape_string()函数作用: 防止SQL Inje...
预防数据库攻击
weixin_30780649的博客
12-20 82
//预防数据库攻击的正确做法: <?php functioncheck_input($value) { //去除斜杠 if(get_magic_quotes_gpc()) { $value=stripslashes($value); } //如果不是数字则加引号 if(!is_numeric($...
PHP mysql_real_escape_string() 函数防SQL注入
weixin_34341117的博客
04-02 196
PHP MySQL 函数 定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 语法 mysql_real_escape_string(string,connecti...
预防数据库攻击的正确做法:
IT技术宅-北方的刀郎
03-21 912
预防数据库攻击的正确做法:magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0因此可以看出这个get_magic_quotes_gpc()函数作用就是得到环境变量magic_quotes_gpc的值。既然在PHP6中删除了magic_qu
mysql_real_escape_string()_PHP mysql_real_escape_string() 函数
weixin_28759725的博客
01-28 83
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
mysql_real_escape_string php_如何在PHP中使用mysql_real_escape_string函数
weixin_30523059的博客
02-18 200
因此,在我正在编写的此程序中,我实际上是使用表单从用户那里获取SQL查询。然后,我继续在数据库上运行该查询。我知道不要“信任”用户输入,因此我想对输入进行清理。我正在尝试使用,mysql_real_escape_string但未能成功使用。输入以下内容,这就是我要尝试的内容: select * from Actor;//"query" is the input string:$clean_stri...
php mysql_real_escape_string函数用法与实例教程
01-20
语法mysql_real_escape_string(string,connection) 参数 描述 string 必需。规定要转义的字符串。 connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。 说明 本函数string 中的特殊字符转义...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
12-18
使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。 mysql_real_escape_string防sql注入攻击 mysql_real_escape_...
预防数据库攻击的正确做法 mysql_real_escape_string
zaxzdqd的博客
01-05 379
<?php function check_input($value) { // 去除斜杠 if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // 如果不是数字则加引号 if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($v
php函数—addslashes和mysql_real_escape_string
不一样的焰火
07-02 991
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。 很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括
php利用阿里云短信SDK实现短信发送功能
赛时科技
05-02 1119
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
Linux网站服务
c5zm51zjr的博客
05-08 258
注:Discuz软件包安装2.5版本的,若没有需要去官网论坛上寻找,找到之后复制链接下载即可。网站架构:LAMP: Linux+Apache+MYSQL+PHP(系统+服务器程序+数据管理软件+中间软件)主配置文件:/etc/httpd/conf/httpd.conf。主目录:/var/www/html (源代码默认位置)子配置文件:/etc/httpd/conf.d/*注:网站a.org无需授权,b.org需要授权。网站:多个网页组合而成的一台网站服务器。URL:统一资源定位符,访问网站的地址。
Web安全研究(九)
至臻求学,胸怀云月
05-05 1046
这段代码事实上实现了一个 webshell 的基本功能,因为它允许通过 URL 参数直接控制和执行服务器端的代码,极其危险。在实际应用开发中,应避免直接使用eval函数,特别是当其包含来自用户输入的数据时。同时,也应该对所有用户输入进行严格的验证和过滤,以减少潜在的安全风险。
免费的发票查验接口平台 PHP开发示例
weixin_49544544的博客
05-07 179
发票识别接口,自主ocr核心技术,无论是增值税发票、火车票、打车票还是财政类票据,仅需一键上传即可快速、精准识别全票面信息,且可进行发票的自动分类,避免了人工录入的误差,提升了发票管理数字化效率与准确率。传统手动录入的方式不仅耗时长,繁琐低效,且容易出现人为错漏的风险,让财务工作者头疼不已。发票识别+发票查验接口可以解决票据信息录入繁琐、易出错等一系列难题,体验发票管理的革命性飞跃。发票查验接口,实时联网查验增值税发票管理系统开具发票的真伪,核验为真还可返回全票面信息,且可进行发票的批量核验。
Service 和 Ingress
go|Python的个人博客
05-08 770
Yaml 文件案例metadata:labels:app: nginx-svc # service 自己的标签spec:ports:- name: http # service 端口配置的名称protocol: TCP # 端口绑定的协议,支持 TCP、UDP、SCTP,默认为 TCPport: 1080 # service 自己的端口targetPort: 80 # 目标 pod 的端口type: NodePort # 默认是ClusterIP 类型,只能在集群内部使用。
WordPress如何判断当前页是否属于文章页或页面?
最新发布
boke112的博客
05-08 72
我想在WordPress站点的文章页和页面中输出一些内容,其他页面不输出,那么我应该怎么判断当前页是否为文章页或页面呢?下面boke112百科就跟大家简单介绍一下。
mysql_real_escape_stringmysqli_real_escape_string
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值