php函数—addslashes和mysql_real_escape_string

最新推荐文章于 2021-03-28 07:11:27 发布
最新推荐文章于 2021-03-28 07:11:27 发布
阅读量993 收藏
点赞数
分类专栏: php 文章标签: php 函数

本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。

很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。 
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。 
另外对于php手册中get_magic_quotes_gpc的举例: 

复制代码代码如下:

if (!get_magic_quotes_gpc()) { 
$lastname = addslashes($_POST[‘lastname']); 
} else { 
$lastname = $_POST[‘lastname']; 


最好对magic_quotes_gpc已经开放的情况下,还是对$_POST['lastname']进行检查一下。 
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别: 
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是: 

mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。 

总结一下: 

addslashes() 是强行加; 
mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求; 
mysql_escape_string不考虑连接的当前字符集。


原文地址:http://www.jb51.net/article/21903.htm


水郭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP函数addslashesmysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashesmysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
php addslashesmysql_real_escape_string
12-17
PHP提供了两种主要的函数来帮助处理这种问题:`addslashes()` 和 `mysql_real_escape_string()`。尽管两者都能在一定程度上防止SQL注入,但它们各有特点,适用场景也有所不同。 `addslashes()` 函数会在字符串中的...
MYSQL mysql_real_escape_stringaddslashe区别
橙色卡布奇诺
08-04 3792
mysql_real_escape_string(); addslashes();以上两个都是服务器发送的转义字符,都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢?? 从PHP手册上查看 mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。 注意: mysql_real_escape_s
PHPaddslashes 函数详解
铁柱的博客
01-19 4820
一、前言       博主在接受新代码的时候,发现代码中频繁使用addslashes 这个函数,说实话,博主在之前还真没怎么用过这个函数,所以这里总结一下它的大致用法。这类安全性的函数某种意义上也代表了咱们的水平吧,能考虑到这点,并且会用就可以。 二、函数的解释 1、概念 概念请参考该博客:https://
8个很有用的PHP安全函数,你知道几个?
淡忘~浅思
11-16 1334
原文:Useful functions to provide secure PHP application 译文:有用的PHP安全函数 译者:dwqs 安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。 在PHP中,有些
PHP防SQL注入不要再用addslashesmysql_real_escape_string
qq_36705093的博客
04-10 4411
作者:深蓝的镰刀链接:https://blog.csdn.net/hornedreaper1988/article/details/43520257著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_str...
(转)addslashesmysql_real_escape_string的区别
jackyrongvip的专栏
07-01 1693
我们为了更深层次的探究这两个函数的不同..还是去看一看PHP的源码吧.. 这是PHPaddslashes函数.. PHP_FUNCTION(addslashes)  {      zval **str;      if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &str) == FAILURE) {         
php7 mysqli调用real_escape_string
QingtaiSensei的博客
02-29 1581
为了防止SQL注入,我们会把用户提交的数据进行转义过滤。 有两种方法在php7中都可以用, 面向过程风格这样写, $link = mysqli_connect('localhost','www','123456','test'); mysqli_real_escape_string($connection,$escapeStr); 用类的方法来写的话, function escape($esca...
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 182
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
PHPaddslashes函数addcslashes函数的区别及详解
南海清流的博客
07-13 2072
一、addslashes是使用反斜杠引用字符串1.参数只有一个,为要转义的字符串2.可以被转义的字符为:单引号(')、双引号(")、反斜线(\)与 NUL(null字符)。3.例子...
addslashes() php,PHP 字符串转义函数addslashes,stripslashes)详解
weixin_29982199的博客
03-10 509
PHP中,有两个函数与字符串的转义有关,他们分别是 addslashes 和 stripslashesaddslashes($string), 在指定的预定义字符前添加反斜杠 (\),用于为存储在数据库中的字符串以及数据库查询语句准备合适的字符串。注释:默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行 addsla...
addslashesmysql_real_escape_string的区别
weixin_34015566的博客
09-20 104
addslashesmysql_real_escape_string.都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢??我们今天来简单的看下..首先.我们还是从PHP手册入手..手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到.只是说了一...
addslashes是用PHP,如何在PHP中使用addslashes()函数
weixin_42172972的博客
03-28 480
如何在PHP中使用addslashes()函数?发布时间:2020-07-09 11:12:03来源:亿速云阅读:63作者:Leah今天就跟大家聊聊有关如何在PHP中使用addslashes()函数?可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。addslashes()函数PHP的一个内置函数,它可以在字符串预定义的字符前添加反斜杠。下面本...
MySql数据库--mysql_real_escape_string()函数
日积月累
12-17 5542
MySql数据库--mysql_real_escape_string()函数 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 注意,mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字
mysql_real_escape_string()函数的作用
weixin_30443075的博客
03-19 502
相关函数:get_magic_quotes_gpc()在PHP5.4中已被丢弃 mysql_real_escape_string()说明这个函数PHP5.5中不建议使用,在将来的版本中将会被丢弃,建议使用: mysqli_real_escape_string() PDO::quote() mysql_real_escape_string()函数的作用: 防止SQL Inje...
不执行数据库查询 mysql_real_escape_string_安全替代mysql_real_escape_string吗? (PHP)
weixin_32211137的博客
01-30 171
我正在将变量传递给执行查询的函数MySQL连接仅在函数内部发生,并在函数内部关闭我希望能够在将字符串发送给函数之前安全地转义字符串我无法使用mysql_real_escape_string,因为它需要MySQL连接(仅在函数内部进行)我知道简单的答案是在函数内部转义字符串,但是我不能这样做,因为我需要发送字符串的一些转义的和一些非转义的部分例如,我需要运行以下函数:myquery("'" . es...
php mysql_real_php mysql_real_escape_string函数用法与实例教程
weixin_35927281的博客
02-28 220
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符转义特殊字符在unescaped_string,考虑到当前字符的连接设置,以便它在的地方是安全的在mysql_query()它。如果二进制数据要插入,这个函数必须被使用下列字符受影响:如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法mysql_real_escape_str...
php用了mysqli_escape_string()函数后变量丢失(无法往后传了)
qq_36357386的博客
04-16 2277
这个小问题困扰了一个周末啊,不过后来还是解决了。先上代码<?php error_reporting(0); function query_db($qstring) { include('db_login.php'); //connection details require_once('DB.php'); //PEAR DB $connection = DB::...
PHP常用函数解析及字符串函数详解
convert_cyr_string函数可以将字符由一种Cyrillic字符转换成另一种,这在处理不同字符集的文本时非常有用。 convert_uudecode函数可以对uuencoded字符串进行解码,通常用于解码从网络上接收到的二进制数据。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值