安全的PHP代码写数据库Mysql写法

最新推荐文章于 2021-03-10 07:36:16 发布
最新推荐文章于 2021-03-10 07:36:16 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: MySQL 文章标签: mysql 数据库 integer string function sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/felio/article/details/1227701
版权

Addslashes是一种不安全的写法,有的字符会不全过滤掉
所以要用mysql_real_escape_string来过滤

[code]
// Quote variable to make safe
function quote_smart($value) {
   // Stripslashes
   if (get_magic_quotes_gpc()) {
       $value = (stripslashes($value));
   }
   // Quote if not integer
   if (!is_numeric($value) || $value[0] == '0') {
       $value =  mysql_real_escape_string($value);
   }
   return $value;
}[/code]

说明:。
 1.看看magic_quotes_gpc是否开,如果开就要去掉其' " NUL 前面的 转义,让mysql的转义来完成
2.用mysql的转义

最后要注意的是:
%和_也是个不安全的字符,尤其是在 SQL里有like 时,破坏性代码没试

参考:

http://cn.php.net/manual/zh/function.addslashes.php
http://www.php.net/manual/en/function.mysql-real-escape-string.php
http://www.php.net/manual/en/security.database.sql-injection.php
http://cn.php.net/manual/zh/function.mysql-real-escape-string.php

felio
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php执行sql语句的写法
12-18
总的来说,PHPMySQL交互涉及多个方面,从连接到数据库、执行SQL语句,到处理查询结果和错误,都需要遵循最佳实践来确保应用程序的稳定性和安全性。随着技术的发展,开发者应逐渐转向更现代的数据库交互方法,如`...
确保 PHP 应用程序的安全 -- 不能违反的四条安全规则
phphot
08-22 2128
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全
php对接数据库写法,php对接数据库
weixin_33637628的博客
03-10 173
$mysql_server="localhost";$mysql_username="zhigao";$mysql_password="5Xs2xsMaha";$mysql_database="zhigao";//建立数据库链接$conn=mysql_connect($mysql_server,$mysql_username,$mysql_password)ordie("数据库链接错误")...
php操作mysql防止sql注入
chuaiyuan6611的博客
06-02 366
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_stringmysql_real_escape_stringmysqli和pdo的预处理的区别,提供最好的防注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
确保 PHP 应用程序的安全
xxrena的专栏
07-21 512
开始之前 在本教程中,您将学习如何在自己的 PHP Web 应用程序中添加安全性。本教程假设您至少有一年编 PHP Web 应用程序的经验,所以这里不涉及 PHP 语言的基本知识(约定或语法)。目标是使您了解应该如何保护自己构建的 Web 应用程序。 目标 本教程讲解如何防御最常见的安全威胁:SQL 注入、操纵 GET 和 POST 变量、缓冲区溢出攻击、跨站点脚本攻击、浏览器内的
php+mysql代码生成器下载
09-04
里面用到的mysql类,还有sql语句中的函数,都在其它代码中 if($_POST['id']==''){ //INSEART $InsertSQL = sprintf("INSEART INTO cuku_faqcat (`catname`,`list`,`cont`) VALUES (%s ,%s ,%s )", GetSQLValueString...
mysql 不等于 符号写法
09-10
MySQL中,不等于运算符用于比较两个值是否不相等。通常有两种符号可以表示不等于:`...理解这些细节对于编高效、兼容的SQL查询和PHP代码至关重要。在实际开发中,了解并正确使用这些运算符可以避免许多潜在的问题。
mysql获得60天前unix时间思路及代码
01-19
mysql 获取昨天日期、今天日期、明天日期以及前一个小时和后一个小时的时间phpmysql查询当天,查询本周,查询本月的数据实例(字段是时间戳)mysql中获取一天、一周、一月时间数据的各种sql语句写法mysql 数据库取前后...
php代码-环境为 PHP7.2 版本
07-15
- **弃用警告**:PHP 7.2开始废弃一些旧函数,如`mysql_*`系列函数,鼓励开发者转向更安全的`mysqli`或`PDO`进行数据库操作。 - **类型提示增强**:现在可以对类属性添加类型声明,增强了类型安全。 - **Null ...
PHP的一个MYSQL操作类
逍遥斩舞的专栏
04-02 1695
在此做个记录PHP类的几个知识点self::$静态属性名$this->一般属性名或方法名单例类 四个要点(三私一公)1禁止构造对象---禁止new()  private  __construct(){} 私有空定义2禁止克隆对象-- clone       private __clone(){} 私有空定义3定义单例对象属性  private static $对象名   私有静态空定义4定义...
php inc文件使用的风险和注意事项
unity3d,unity3d教程下载
11-12 798
数据库使用中需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程中为了方便,一般都会用一个db.inc文件保存,如:  代码如下:  $db_user = 'myuser'; $db_pass = 'mypass'; $db_host = '127.0.0.1';  $db = mysql_connect($db_host, $db_user, $db_pass);  
php 特殊字符转义,实现字符串安全存入数据库
Geek彬的博客
11-20 6212
php 特殊字符转义,实现字符串安全存入数据库 <?php /** * php 特殊字符转义,实现字符串安全存入数据库 * * @param [type] $content [description] * @return [type] [description] */ function bese_filter($content) { // 将特殊字符转换为 HT...
PHP原生SQL语句书总结
舞步天行者的博客
06-22 1万+
PHP原生SQL语句书总结    有时候在我们使用TP3.2时无法使用框架,例如小程序支付后的回调,就需要用到原生PHP,还有就是服务器定时执行文件也需要用到原生PHP,这时我总结一下一种原生PHP各种PHPSQL语句书;自己的,语句正确性已验证了 链接数据库: $mysqli = new mysqli("localhost", "root", "*******", "paimai...
PHP连接MYSQL操作增删改查的原生写法
大白菜啊
04-21 654
配置 config.php $mysql = [ 'host' => '127.0.0.1:3306', 'db' => 'testdb', 'db_user' => 'root', 'db_pwd' => 'root', 'db' => 'testdb', ]; mysql_connect($mysql['host'], $mysql['db_user']...
php mysql 写法_phpmysql语句的基本写法
weixin_35338620的博客
01-28 131
php作为一门后台语言必须要与mysql数据库打交道,做到将内容存储到数据库以及数据库数据读的操作,那么下面就来说下最近学习的一些东西:在具体将之前先说一下编码的问题,很多情况会发现php内容显示在浏览器里会有编码问题,同时前台存储到数据库表中的中文字信息也会出现乱码问题,那么这里有几个地方要注意:1、header("Content-Type: text/html;charset=utf-8")...
addslashes:会导致SQL注入漏洞
热门推荐
悟空悟空,越悟越空
09-15 2万+
参考这位大虾:http://shiflett.org/archive/184  addslash包括php.ini中默认设置的magic_quotes_gpc = On,也会存在这种可能:原因:addslashes对有些特殊字符后跟上(单引号)并不会加把这个变成/如: 0xbf27 的字就不会,所以    縗 OR 1 limit 1/*  这个就存在[code]heade
unicode 字符表 ultraedit在汉字乱码
悟空悟空,越悟越空
10-09 5841
 下图转自 http://www.pkucn.com/viewthread.php?tid=181431&extra=page%3D1需要在ultraedit设置一下所在地区: 不然就出来的就是半个字符。。。。。。。。。。。 开启你的文档后,从其菜单file->conversions-> ascii to unicode将其转为unicode格式,就ok了。转为unicode格式之前,确
乱码问题(2):如何把原有数据库的GBK作内码的数据转成UTF-8?
悟空悟空,越悟越空
08-23 2702
原来:MySQL服务器上5.0, 用GBK方式来读存取数据,,,现在:保留原有数据情况下,把内码转成 UTF-8步骤:1. 把表结构换成U8ALTER TABLE `表名` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;2. 把字段结构换成U8 ALTER TABLE `表名` CHANGE `字段名` `字段名` TEXT CHA
PHP5与MySQL数据库编程指南
这篇文档是关于在PHP环境下使用MySQL数据库的详细指南,涵盖了从基础到高级的各种操作。作者Andy Harris深入浅出地介绍了如何利用PHP5这一强大的服务器端脚本语言来与MySQL数据库进行交互。文档内容全面,不仅包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值