服务器端用 mysql_real_escape_string 清洁客户端数据

最新推荐文章于 2021-03-17 05:39:54 发布
最新推荐文章于 2021-03-17 05:39:54 发布
阅读量1.3k 收藏
点赞数
分类专栏: PHP基础技术 文章标签: string mysql 服务器 php input query
由于 mysql_real_escape_string 需要 MySQL 数据库连接,因此,在调用 mysql_real_escape_string 之前,必须连接上 MySQL 数据库。
注意!mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:

mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。

在知道数据类型为字符串时,我们可以在清洁数据的同时限制字符串长度。此方法来自 David Lane, Hugh E. Williams 《Web Database Application with PHP and MySQL 》(O'Reilly, May 2004)

PHP:
  2. <?php
  3. function mysqlClean ( $array, $index, $maxlength )
  4. {
  5. if ( isset ( $array [ $index ] ) )
  6. {
  7. $input = substr ( $array [ "{$index}" ], 0, $maxlength );
  8. $input = mysql_real_escape_string ( $input );
  9. return ( $input );
  10. }
  11. return NULL;
  12. }
  13. ?>
调用方法:
PHP:
  2. <?php
  3. $conn = mysql_connect ( 'localhost', 'user', 'pass' );
  5. if ( isset ( $_POST [ 'username' ] ) )
  6. {
  7. $_POST [ 'username' ] = mysqlClean ( $_POST, 'username', 20 );
  8. echo $_POST [ 'username' ];
  9. }
  10. ?>
将 $_POST 数组中的 'username' 清洁并截取前20位字符。

mysql_real_escape_string

(PHP 4 >= 4.3.0, PHP 5, PECL mysql:1.0)

mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集

说明

string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier ] )

本函数将 unescaped_string 中的特殊字符转义,并计及连接的当前字符集,因此可以安全用于 mysql_query()
Note: mysql_real_escape_string() 并不转义 %_

 

Example#1 mysql_real_escape_string() 例子

<?php
$item = "Zak's and Derick's Laptop";
$escaped_item = mysql_real_escape_string($item);
printf ("Escaped string: %s/n", $escaped_item);
?>

以上例子将产生如下输出:

      
      

       
       
Escaped string: Zak/'s and Derick/'s Laptop

mysql_escape_string

(PHP 4 >= 4.0.3, PHP 5, PECL mysql:1.0)

mysql_escape_string — 转义一个字符串用于 mysql_query

说明

string mysql_escape_string ( string $unescaped_string )

本函数将 unescaped_string 转义,使之可以安全用于 mysql_query()

Note: mysql_escape_string() 并不转义 %_本函数和 mysql_real_escape_string() 完全一样,除了 mysql_real_escape_string() 接受的是一个连接句柄并根据当前字符集转移字符串之外。mysql_escape_string() 并不接受连接参数,也不管当前字符集设定。

 

Example#1 mysql_escape_string() 例子

<?php
     $item = "Zak's Laptop";
    $escaped_item = mysql_escape_string($item);
    printf ("Escaped string: %s/n", $escaped_item);
?>

以上例子将产生如下输出:

        
        

         
         
Escaped string: Zak/'s Laptop

参见 mysql_escape_string()mysql_character_set_name()

潇湘博客
关注
专栏目录
PHP mysql_real_escape_string() 函数
03-20 978
PHP mysql_real_escape_string() 函数PHP MySQL 函数定义和用法mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:/x00/n/r/"/x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法
MySql数据库--mysql_real_escape_string()函数
日积月累
12-17 5552
MySql数据库--mysql_real_escape_string()函数 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 注意,mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字
【转】MySql数据库--mysql_real_escape_string()函数
weixin_30521649的博客
07-03 252
MySql数据库--mysql_real_escape_string()函数 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 注意,mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字符集。 描述 该...
php mysql_real_escape_string() 函数
苦艾文艺
10-05 546
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ’ ” \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
mysql_real_escape_string
王文路
08-27 455
mysql_real_escape_string 主要是为了 数据库防注入、以及语句正确性等需要,将读写语句中的字符进行了转换; 但最终写入到数据库中的内容,依旧是你转义前的;所以当你读出来的时候,依旧是原来转义前的内容; 比如,你要在数据库中插入字符串 aaaa"aaaa 但如果写成insert into table values("aaaa"aaaa"); 语句就出错了,使用mysql_r
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
例如,如果输入的name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23,那么如果不指定字符编码,就可能会绕过mysql_real_escape_string函数的限制。因此,通常需要与mysql_set_charset函数一起使用...
php mysql_real_escape_string函数用法与实例教程
01-20
语法mysql_real_escape_string(string,connection) 参数 描述 string 必需。规定要转义的字符串。 connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。 说明 本函数将 string 中的特殊字符转义...
PHP函数addslashes和mysql_real_escape_string的区别
10-26
随着时间的推进,addslashes()被弃用,而mysql_real_escape_string()虽然更为强大,但使用预处理语句才是防范SQL注入的最佳做法。开发者在设计数据库交互的应用时,需要充分考虑这些安全措施,确保系统的健壮性和...
mysql_escape_string()函数用法分析
10-22
然而,值得注意的是,`mysql_escape_string()`在PHP 5.3版本后已被废弃,不再推荐使用,而是建议使用更安全的`mysqli_real_escape_string()`或者使用参数绑定的方法,如PDO。 `mysql_escape_string()`函数的基本...
mysql_real_escape_string()--mysql数据
飞信天下专栏
10-13 1723
unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length)
mysql_real_escape_string()函数
weixin_33725515的博客
03-18 393
mysql_real_escape_string()函数 mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下: string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] ) 在上...
mysql real escape,mysql_real_escape_string()函数
weixin_26870929的博客
03-17 1223
mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )在上述语法中涉及到的参数说明如下。unescaped_...
mysql_real_escape_string()_mysql_real_escape_string() | 学步园
weixin_33642922的博客
02-27 293
19.7.3.53.mysql_real_escape_string()unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length)Note that mysql must be a valid, open connection. This is nee...
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 189
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
addslashes与mysql_real_escape_string的区别
weixin_34015566的博客
09-20 108
addslashes和mysql_real_escape_string.都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢??我们今天来简单的看下..首先.我们还是从PHP手册入手..手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到.只是说了一...
mysql real java_PHP中的mysql_real_escape_string函数
weixin_33573700的博客
02-07 122
根据你的使用目的我觉得这个函数有两方面的用途:防止SQL Injection攻击,也就是你必须验证用户的输入操作数据的时候避免不必要的字符导致错误mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:\x00\n\r\'"\x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。攻击的例子[1]例子 1$con =...
mysql_real_escape_string 注入_围绕mysql_real_escape_string()的SQL注入
weixin_39862985的博客
01-19 532
沧海一幻觉简短的回答是肯定的,是的,有办法绕行mysql_real_escape_string()。对于非常糟糕的边缘案例!!!答案很长并不容易。它基于此处演示的攻击。攻击那么,让我们从展示攻击开始......mysql_query('SETNAMESgbk');$var=mysql_real_escape_string("\xbf\x27OR1=1/*");mysql_query(...
mysql_real_escape_stringmysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值