php中mysql_real_escape_string+sprintf防止sql注入

最新推荐文章于 2021-01-27 18:26:57 发布
最新推荐文章于 2021-01-27 18:26:57 发布
阅读量1.2k 收藏
点赞数
分类专栏: 编程之美
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyphrb/article/details/48657385
版权 
    function verify_key($db, $key)
    {
        $clientIp = $_SERVER["REMOTE_ADDR"]; 
        $sql = sprintf("select *  from myweb_key where keydata = '%s'",mysql_real_escape_string($key));
        $query = $db->mysql_query($sql);
        if ($query) {
            # code...
            if ($db->column_num_rows($query) > 0) {
                $result  = $db->mysql_getdata($query);
                if ( $result['keydata'] == $key && $clientIp == $result['ip']) {
                    # code...
                    $array = ['status'=>'True', 'data'=>'the key is current'];
                    $array_to_json = json_encode($array);
                    return $array_to_json;
                }
                elseif ($clientIp != $result['ip']) 
                {
                    $array = ['status'=>'False', 
                        'data'=>'you address ip  is  not current in database ,must key with ip current, then you scan seach the block ip'];
                    $array_to_json = json_encode($array);
                    return $array_to_json;
                }
            }
            else
            {
                    $array = ['status'=>'False', 'data'=>'the key is  not found in column'];
                    $array_to_json = json_encode($array);
                    return $array_to_json;
            }               
        }

    }
pyphrb
关注
专栏目录
【附加】sprinf()学习,以及漏洞学习 --sql注入可能会有,,没弄完来
Zero_Adam的博客
04-08 275
目录:1.基础知识学习2.sprintf注入原理 参考自:https://blog.csdn.net/qq_34965596/article/details/103522804?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_baidulandingword-5&spm=1001.2101.3001.4242 1.基础知识学习 把%百分号符号 替换成为一个参数进行传递的变量。 %% - 返回一个百分号 % %b - 二进制数 %c
c++ mysql mysql_field_C++操作MySQL数据库
weixin_30748139的博客
01-19 626
C++操作mysql数据库主要有2种方式:1、通过C++ API方式调用2、通过mysql的Connector C++=============================================================================================================================================...
mysql sprintf注入,sprintf()如何防止SQL注入
weixin_42348109的博客
01-27 185
I have heard that sprintf() protects against SQL injection. Is it true? If so, how?Why people are recommending to write query like this:$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %...
mysql escape 注入_在哪里使用mysql_real_escape_string防止SQL注入
weixin_33204101的博客
01-19 174
I'm in trouble with a group of hackers. they hacked my client's site few times, and my client gets more angry :( my client lost his database (which has hundreds records), and had to enter all :(now I'...
防止sql注入mysql_real_escape_string
weixin_34249367的博客
04-01 341
2019独角兽企业重金招聘Python工程师标准>>> ...
php sprintf函数引起的sql注入
黑面狐
03-11 3022
sprintf函数作用: sprintf() 函数把格式化的字符串写入变量。 arg1、arg2、++ 参数将被插入到主字符串的百分号(%)符号处。该函数是逐步执行的。在第一个 % 符号处,插入 arg1,在第二个 % 符号处,插入 arg2,依此类推。 注释:如果 % 符号多于 arg 参数,则您必须使用占位符。占位符位于 % 符号之后,由数字和 "\$" 组成 测试1.php文件...
mysql_escape_string()函数用法分析
12-18
MySQL的`mysql_escape_string()`函数在过去的PHP开发被广泛用于对用户输入的数据进行转义,以防止SQL注入攻击。然而,随着技术的发展,这个函数已经被废弃,并且不建议继续使用。在这里,我们将深入理解`mysql_...
mysql sprintf_深入解析sprintf格式化字符串漏洞
weixin_32323465的博客
01-27 409
0x01 sprintf()讲解首先我们先了解sprintf()函数sprintf() 函数把格式化的字符串写入变量sprintf(format,arg1,arg2,arg++)arg1、arg2、++ 参数将被插入到主字符串的百分号(%)符号处。该函数是逐步执行的。在第一个 % 符号处,插入 arg1,在第二个 % 符号处,插入 arg2,依此类推。注释:如果 % 符号多于 arg 参数,...
mysql db query返回值_官方对mysql_query函数和mysql_db_query函数
weixin_42528780的博客
01-27 2482
看了下文的说明,有看了下官方英文说明,还是英文的好使。1.看mysql_query函数定义 resourcemysql_query(string$query[,resource$link_identifier] )功能:发送唯一查询请求(不支持多个查询)到当前活动的和link_identifier关联的数据库服务器。参数:a.query 一个sql查询,查询字符串不应以分号结尾,在查询里面...
mysql 参数化_安全 -- mysql参数化查询,防止Mysql注入
weixin_39828847的博客
01-18 678
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预SQL注入攻击(SQL Injection) 的攻击手法的御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不...
151 php SQL注入的例子 & mysql_real_escape_string
fancivez的专栏
03-25 1684
SQL注入的例子mysql_real_escape_stringmysql_real_escape_string() 函数转义 SQL 语句使用的字符串的特殊字符。 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false一个注入的例子<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con) { d
PHP mysql_real_escape_string() 函数SQL注入
weixin_34341117的博客
04-02 202
PHP MySQL 函数 定义和用法 mysql_real_escape_string() 函数转义 SQL 语句使用的字符串的特殊字符。 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 语法 mysql_real_escape_string(string,connecti...
php巧用sprintf组合sql语句
时光清浅处,一步一安然
08-24 1717
php,拼接mysql的语句时,通常情况下,会使用点操作符,如下: $user_id = 1; $subject = '哲学'; $sql = "select * from scores where `user_id`=".$user_id." and `subject`='".$subject."'"; 以这种方式来拼接sql,会比较繁琐,尤其是当参数比较多的时候,下面,利用ph
深入解析sprintf格式化字符串漏洞
大方子
08-28 4927
  深入解析sprintf格式化字符串漏洞 0x00 前言 从相遇到相识 从相识到相知 ......... 不过你真的懂ta吗 这次故事的主角是PHP的格式化函数sprintf   0x01 sprintf()讲解   首先我们先了解sprintf()函数 sprintf() 函数把格式化的字符串写入变量sprintf(format,arg1,arg2,arg++...
Web安全初探-SQL注入
Java Dynamic的专栏
03-22 3207
一、SQL注入 SQL注入是一种利用应用程序数据库层出现的安全漏洞的代码注入技术。通常在一些场景容易发生,比如用户输入的内嵌于SQL语句里的转义字符没有被正确的过滤掉或用户输入不是强类型导致异常的执行。SQL注入注入型漏洞攻击很常见的一种,注入式漏洞攻击在一种编程语言或脚本语言嵌入到另一种的任何时刻都可能发生。SQL注入是现在常用的应用层注入技术之一。 下图是通过扫描工具:WebCruis
mysql转译防止注入_Sqli-labs Less-36 宽字节注入 绕过mysql_real_escape_string()函数转义...
weixin_42676824的博客
01-26 753
关键代码function check_quotes($string){$string= mysql_real_escape_string($string);return $string;}$id=check_quotes($_GET['id']);mysql_query("SET NAMES gbk");$sql="SELECT * FROM users WHERE id='$id' LIMIT ...
MFC+C_API:Mysql数据库连接与操作示例
然后,插入数据的过程通过`sprintf`函数构造SQL INSERT语句,并使用`mysql_query`来执行插入操作。如果插入成功,显示“InsertoneSuccess!”,失败则显示“InsertoneFailed!”。 对于更新数据,作者同样构造了一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值