sql 执行时字符串转义

最新推荐文章于 2023-04-10 17:17:38 发布
最新推荐文章于 2023-04-10 17:17:38 发布
阅读量5.3k 收藏
点赞数 1
文章标签: mysql php

这篇文章主要介绍了PHP中常用的转义函数、安全函数,使用这些函数可以过滤大部份常见的攻击手段,如SQL注入,需要的朋友可以参考下。

1. addslashes

addslashes对SQL语句中的特殊字符进行转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQL有mysql_real_escape_string函数用来转义SQL。

注意在PHP5.3之前,magic_quotes_gpc是默认开启的,其主要是在 GET, POST, $COOKIE上执行addslashes操作,所以不需要在这些变量上重复调用addslashes,否则会double escaping的。不过magic_quotes_gpc在PHP5.3就已经被废弃,从PHP5.4开始就已经被移除了,如果使用PHP最新版本可以不用担心这个问题。stripslashes为addslashes的unescape函数。

2. htmlspecialchars

htmlspecialchars把HTML中的几个特殊字符转义成HTML Entity(格式:&xxxx;)形式,包括(&),(‘),(“),(<),(>)五个字符。

   & (AND) => &

   ” (双引号) => " (当ENT_NOQUOTES没有设置的时候)

   ‘ (单引号) => ' (当ENT_QUOTES设置)

   < (小于号) => <

   > (大于号) => >

htmlspecialchars可以用来过滤 GET POST,$COOKIE数据,预防XSS。注意htmlspecialchars函数只是把认为有安全隐患的HTML字符进行转义,如果想要把HTML所有可以转义的字符都进行转义的话请使用htmlentities。htmlspecialchars_decode为htmlspecialchars的decode函数。

3. htmlentities

htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的decode函数。

4. mysql_real_escape_string

mysql_real_escape_string会调用MySQL的库函数mysql_real_escape_string,对(\x00), (\n), (\r), (), (‘), (\x1a)进行转义,即在前面添加反斜杠(),预防SQL注入。

注意你不需要在读取数据库数据的时候调用stripslashes来进行unescape,因为这些反斜杠是在数据库执行SQL的时候添加的,当把数据写入到数据库的时候反斜杠会被移除,所以写入到数据库的内容就是原始数据,并不会在前面多了反斜杠。

5. strip_tags

strip_tags会过滤掉NUL,HTML和PHP的标签。

6. 结语

PHP自带的安全函数并不能完全避免XSS,推荐使用HTML Purifier。

http://www.jizhuomi.com/software/388.html

中国风2012
关注
sqlserver排除html转义字符串,SqlServer字符变量转义问题
weixin_35711852的博客
06-02 657
经常惆怅于Sql中字符变量的转义问题,刚刚看到一篇文章感觉不错,借来分享给大家SELECT Count(0)和SELECT COUNT(*)和SELECT COUNT(??) 意思一样的。sql单引号问题解决 用转义提交sql语句老因为单引号出错百度了一下用两个单引号替换单引号就行了content=content.replace("'","''");SQL中的转义字符怎么用呢?我的数据库中存在C...
ACCESS中关于SQL语句的转义字符
09-11
* 在字符串连接操作中,需要转义特殊字符。例如,SELECT * FROM table WHERE column LIKE '%[[]url=%'。 * 在 Regular Expression 中,需要转义特殊字符。例如,SELECT * FROM table WHERE column REGEXP_LIKE '%[[]...
PHP中常用的转义函数
12-19
1. addslashesaddslashes对SQL语句中的特殊字符进行转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQLmysql_real_escape_string函数用来转义SQL。 注意在PHP5.3之前,magic_quotes_gpc是默认开启的,其主要是在$GET, $POST, $COOKIE上执行addslashes操作,所以不需要在这些变量上重复调用addslashes,否则会double escaping的。不过magic_quotes_gp
使用PHP转义函数:避免XSS漏洞
lcradio的专栏
02-28 1305
近期出现很多CMS出现XSS漏洞等新闻,PHP作为比较安全的网络编程语言,也变得“不那么安全”,其实,注意使用PHP中常用的转义函数、安全函数就可以过滤大部份常见的攻击手段,如SQL注入、XSS攻击等。 1. htmlentities htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的
php的几个转义函数
系统运维
07-11 111
php转义函数应用 addslashes() 函数在指定的预定义字符前添加反斜杠。 这些预定义字符是 单引号 (') 双引号 (") 反斜杠 (\) NULL addcslashes() 函数在指定的字符前添加反斜杠。 stripcslashes() 函数删除由 addcslashes() 函数添加的反斜杠。 stripslashes() 函数删除由 add...
SQL查询中的转义字符
bitzhl的专栏
06-19 2287
 如果想查找“_cs”结尾的的账户select * from [user] where loginname like %_cs是不行的,_ 被认为是任意的字符,所以需要转义字符,有两种写法:select * from [user] where loginname like %[_]csselect * from [user] where loginname like
PHP转义函数
暗淡亮点的博客
10-28 413
string preg_quote( string $str[, string $delimiter] ) 找出$str字符串中出现的属于正则表达式的特殊字符,并在改特殊字符前面加上一个反斜线。可以提供一个可选的$delimiter字符串参数作为新增的转义字符集合。正则表达式的特殊字符包括: . \ + * ? [ ^ ] $ ( ) { } = ! | : 。string addslashes
SQL中的转义字符
12-14
SQL(结构化查询语言)中,转义字符是一个关键概念,它允许用户在字符串中插入特殊字符,如单引号、百分号和下划线,这些字符在SQL语句中通常具有特定含义。转义字符使得这些特殊字符能够被当作普通文本处理,而...
C#检测是否有危险字符的SQL字符串过滤方法
09-04
C#作为.NET框架的主要编程语言,提供了一些方法来检查和过滤可能含有危险字符的SQL字符串,以避免此类攻击的发生。 首先,我们来看一个C#中实现的SQL字符串过滤函数`ProcessSqlStr`。这个函数通过定义一系列的危险...
Web应用安全:perl字符串转义以及字符串含号等特殊符号的用法.docx
06-17
【Perl字符串转义与特殊符号处理】 在Web应用安全中,理解编程语言的字符串处理机制至关重要,特别是涉及特殊符号和转义字符。Perl是一种强大的脚本语言,广泛应用于CGI、系统管理、网络编程等领域。Perl的字符串...
php常用转义函数
陌阡博客
04-01 1469
/** * 递归方式的对变量中的特殊字符进行转义 * * @access public * @param mix $value * * @return mix */ function addslashes_deep($value) { if (empty($value)) { return $value; } else
php字符串转义的函数,php字符串转义函数
weixin_39576127的博客
03-16 285
PHP中,有两个函数与字符串转义有关,他们分别是 addslashes 和 stripslashes。addslashes($string), 在指定的预定义字符前添加反斜杠 (\),用于为存储在数据库中的字符串以及数据库查询语句准备合适的字符串。注释:默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行 addsla...
转义的函数php,php常用转义函数
weixin_32821913的博客
03-28 306
/*** 递归方式的对变量中的特殊字符进行转义** @access public* @param mix $value** @return mix*/function addslashes_deep($value){if (empty($value)){return $value;}else{return is_array($value) ? array_map('addslash...
PHP中可以对字符进行转义的函数
qq_63527808的博客
04-10 491
5、magic_quote_gpc:魔术引号开关,若为 on 状态,会对数据中含单引号(’)、双引号(”)、反斜线(\)与 NULL(NULL 字符)等字符加上反斜线;6、get_magic_quotes_gpc():返回一个 bool 值,若为 true,说明magic_quote_gpc处于 on 状态,反之,则为 off 状态;(/ 是最通用的分隔符);在预定义字符:(1)单引号('),(2)双引号("),(3)反斜杠(\),(4)NULL 前加入 '(1)string: 输入字符串
关于php转义函数的整理
weixin_45427650的博客
01-07 435
addcslashes() 函数 语法: addcslashes(“abc”, “c”) :在字符串中的c字母前加反斜杠 “ \ ” mysqli_real_escape_string() 函数 语法: mysqli_real_escape_string(“mysql连接”, “要转义字符串”) 自动转义是 :NUL(ASCII 0)、\n、\r、\、’、" 和 Control-Z。 ...
PHP字符串转义相关函数
Tacks的博客
04-08 2211
目录 【1】addslashes与stripslashes 【2】addcslashes与stripcslashes 【3】htmlspecialchars与htmlspecialchars_decode 【4】quotemeta— 下面这些特殊字符前加 反斜线(\) 转义后的字符串。 【5】nl2br — 在字符串所有新行之前插入 HTML 换行标记 【6】strip_tags —...
php全部转义,php的几个转义函数
weixin_30694389的博客
03-23 236
转义的一些小小记录转义addslashes 反转义stripslashes在每个双引号(")前添加反斜杠# 值''"event_busy"''# 结果''\"event_busy\"''转义htmlspecialchars 反转义 htmlspecialchars_decode# 值''"event_busy"''# 结果''"<i class="icon">event_busy&lt...
php mysql 转义函数_PHP常用的转义函数
weixin_34227128的博客
01-28 223
1. addslashesaddslashes对SQL语句中的特殊字符进行转义操作,包括(‘),(“), (),(NUL)四个字符,此函数在DBMS没有自己的转义函数候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQLmysql_real_escape_string函数用来转义SQL。注意在PHP5.3之前,magic_quotes_gpc是默认开启的,其主要是在$G...
PHP常用的转义函数
abc112112112的博客
06-26 150
1. addslashes addslashes对SQL语句中的特殊字符进行转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQLmysql_real_escape_string函数用来转义SQL。 注意在PHP5.3之前,magic_quotes_g...
sql 查询字符串转义
最新发布
05-05
SQL 中,如果你要查询包含特殊字符(例如单引号、双引号、百分号等)的字符串,你需要对这些特殊字符进行转义,否则会导致 SQL 语句执行错误或者 SQL 注入攻击。 下面是一些常见的字符串转义方法: 1. 使用双单引号 '' 来转义单引号 ' 例如,要查询包含单引号的字符串 "It's a sunny day",可以使用以下语句: ``` SELECT * FROM table_name WHERE column_name = 'It''s a sunny day'; ``` 2. 使用反斜杠 \ 来转义单引号 ' 或双引号 " 例如,要查询包含单引号和双引号的字符串 "It's a \"sunny\" day",可以使用以下语句: ``` SELECT * FROM table_name WHERE column_name = 'It''s a \"sunny\" day'; ``` 3. 使用 ESCAPE 关键字来转义特殊字符 % 例如,要查询包含百分号的字符串 "10%",可以使用以下语句: ``` SELECT * FROM table_name WHERE column_name LIKE '10\% ESCAPE '\'; ``` 这里的 ESCAPE '\'; 表示将反斜杠 \ 作为转义字符。 需要注意的是,不同的数据库系统可能有不同的转义规则,具体可以参考对应数据库系统的文档或者手册。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值