php 函数积累记录 -- mysql_real_escape_string

最新推荐文章于 2024-09-24 09:50:23 发布
最新推荐文章于 2024-09-24 09:50:23 发布
阅读量999 收藏
点赞数
分类专栏: 技术日记 文章标签: string mysql php sql query
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mlive/article/details/4842833
版权

今天看到了一笔记上面是这么说的:

 

2. 不转意SQL输入
我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法 。有人对我说,他们已经在php.ini中将magic_quotes设置为On,所以不必担心这个问题,但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的!
如何修复:
和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数
正确做法:
<?php
$sql = "UPDATE users SET
name='.mysql_real_escape_string($name).'
WHERE id='.mysql_real_escape_string ($id).'";
mysql_query($sql);
?>

 

以下是PHP手册中的介绍:

mysql_real_escape_string

(PHP 4 >= 4.3.0)

mysql_real_escape_string --  转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集

说明

string mysql_real_escape_string ( string unescaped_string [, resource link_identifier])

本函数将 unescaped_string 中的特殊字符转义,并计及连接的当前字符集,因此可以安全用于 mysql_query()

注: mysql_real_escape_string() 并不转义 %_

 

 

Mlive
关注
专栏目录
PHP函数addslashes和mysql_real_escape_string的区别
10-26
PHP为开发者提供了一系列函数来处理数据库输入值的转义,其中最知名的是addslashes()和mysql_real_escape_string()函数。下面将详细介绍这两个函数的区别以及它们与SQL注入漏洞的关系。 首先,addslashes()函数...
mysql integer string,我应该使用mysql_real_escape_string转义一个期望的整数值,或者我可以使用(int)$ expectedinteger...
weixin_29234239的博客
02-07 77
is it safe to use cast (int) instead of escaping?class opinion{function loadbyopinionid($opinionid){$opinionid=(int)$opinionid;mysql_query("select * from fe_opinion where opinionid=$opinionid");//more...
mysql_escape_string 宽字符_mysql_real_escape_string()函数 在不同版本php中不同处理!
weixin_33453301的博客
02-07 266
发现mysql_real_escape_string() 在不同php版本中表现不同。网上看安全开发文档的时候,文档中说,正确使用mysql_real_escape_string()前需要指定mysql连接字符集即使用mysql_set_charset()函数,如果不指定字符集且使用的字符编码是类似GBK的宽字符,可能导致宽字符注入。这里我做了一个小实验,只使用了mysql_real_escape...
mysql转译防止注入_Sqli-labs Less-36 宽字节注入 绕过mysql_real_escape_string()函数转义...
weixin_42676824的博客
01-26 754
关键代码function check_quotes($string){$string= mysql_real_escape_string($string);return $string;}$id=check_quotes($_GET['id']);mysql_query("SET NAMES gbk");$sql="SELECT * FROM users WHERE id='$id' LIMIT ...
mysql escape 注入_在哪里使用mysql_real_escape_string防止SQL注入?
weixin_33204101的博客
01-19 174
I'm in trouble with a group of hackers. they hacked my client's site few times, and my client gets more angry :( my client lost his database (which has hundreds records), and had to enter all :(now I'...
php mysql_real_escape_string函数用法与实例教程
10-26
phpmysql_real_escape_string函数是一个用于转义SQL查询中字符串特殊字符的函数,目的是为了防止SQL注入攻击。在Web开发中,通过用户输入构造SQL查询是非常常见的情况,然而恶意用户可能通过输入特殊格式的数据,...
mysql_escape_string()函数用法分析
10-22
MySQL中的`mysql_escape_string()`函数是用来处理SQL查询中可能存在的特殊字符,以防止SQL注入攻击。这个函数PHP中被广泛使用,特别是在处理用户输入的数据时,用来转义那些可能会改变查询语句含义的字符。然而,...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
php mysql_real_escape_string、addslashes函数以及mysql绑定参数是PHP开发中常用的防止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
PHP搜索引挚支持中文搜索 技术日记
08-27 3366
环境:window/Linux 工具:PHP mysql apache注意:本人对在Linux环境下操作生熟,而且没有权限对公网上服务器进行配置,本地环境为window xp.所以要对环境没有需要.       最近一直在查相关PHP搜索引挚有知识,因为想做一个玩玩,不用不知道,一用可是把人愁死了.没想到,现在网上对针对中文搜索功能如此馈乏.头疼啊.           记
如何把从数据库读出来的数据以excel格式显示到网页?
06-30 2211
       使用PHP技术将数据生成excel文档早就实现了,在这里我就不再多谈了。我想问的是生成 excel文档后在页面中显示,这样子如果想取得新的excel数据不用重新再操作,只要刷新页面就可以了。       我试过,    fksjkfjksIE可以直接使用链接,会出现对话框后选择生成就可以页面上查看了。但是其它浏览器中就不可以了,到底有没有其它的办法啊?????????
JS(jquery)实现图片放大镜效果
07-31 1851
呵呵,我又看到了一种jquery的插件jquzoom, JS(jquery)实现图片放大镜效果  http://www.vancl.com/css/jqzoom.css" type="text/css" rel="stylesheet" /> http://www.vancl.com/PublicControls/js/jquery.js" type=text/javascript> h
jquery的几个插件
07-04 1098
本来是头要我做一个jquery的菜单树,给了我一个网址,我在上面看到了几个其它的插件,学得很有意思,在这给大家网址有时间大家去看一下吧,  http://bassistance.de/jquery-plugins/, 这里边有五个插件,分别是Accordion ,treeview,tooltip,Autocomplete ,Validation
正则表达式笔记
07-31 921
前些天工作很闲,没有什么事做,就从网上找了一些正则表达式的资料看.结果只看明白了一半,不过还好了,我这一半我现在就够用了.记录一下 正则表达式应用很广大,我在这里就不说了,下面有一些小例子有配合着知识点. 1.匹配单词 hi,不分大小写. //bhi/b/注意,我在这要配置的是单词,而不是字母.所以要 使用元字符 /b/b 代表着单词的开头与结尾2. 匹配以0为开头
工作记录
12-24 837
一下子。要对几百条或理多条数据进行排序,是件很头痛的事。以前做的产品,本来运行是很好的,可是最初设计的时候没有想到会有几百条数据进行排序。所以当初设计sort字段时为tinyint的类型,字段太小,在执行SQL的时候也没有报错,就认为是SQL语句太多而出的问题,查了几天才查到。杯具
JavaScript 学习笔记
02-17 732
       前些日子在朋友的帮助下看了一些JS完成了一个功能,想做个笔记,用了以下的知识.      1. 扩展名为hta的文件:网页应用程序(html application).可以将页运行vbscript,javascript的文件命名为.hta文件即可运行,不需要安装开发和运行环境.记事本可编写,浏览器可运行.具有本地安全集别.        2. 使用JS脚本,通过一个链接地
基于SpringBoot+Vue+MySQL的养老院管理系统
程序员大金的博客
09-20 778
基于SpringBoot+Vue+MySQL的养老院管理系统,附源码。
mysql的查询操作
最新发布
weixin_45710581的博客
09-24 662
MySQL的查询操作是数据库管理和数据检索的核心。通过SQL(Structured Query Language,结构化查询语言)语句,用户可以执行包括数据检索、数据插入、更新和删除在内的多种操作。在本文中,我们将重点讨论数据检索(即SELECT语句)的高级用法和最佳实践。
MySQL中去除重复
hdjag的博客
09-18 479
示例:查询employees表,显示唯一的部门ID。
mysql_real_escape_stringmysqli_real_escape_string
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值