PHP关于mysql_real_escape_string的很奇怪的bug

最新推荐文章于 2022-06-12 14:05:58 发布
最新推荐文章于 2022-06-12 14:05:58 发布
阅读量1.2k 收藏
点赞数
文章标签: string mysql php performance input database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rickone2009/article/details/6281303
版权

长话短说,mysql_query串的安全问题是众所周知的,对拼入sql串的数据字符串要做mysql_real_escape_string(或mysql_escape_string),这些没有问题,可是,但是,在大名鼎鼎的php上面,有这样一个‘bug’,有时候你发现你escape后的串,输入到了数据库,调了好久,一步步跟踪数据的变化,后来发现在$_POST[]中变量就已经被escape了,于是你再调mysql_real_escape_string,就会多作一次变换,而结果就是:数据串'xxx"' => 'xxx/"' => 'xxx///"',结果可想而知,于是我查了一下php.ini,关键字(escape),发现这样一个选项:

 

; - magic_quotes_gpc = Off         [Performance]
;     Input data is no longer escaped with slashes so that it can be sent into
;     SQL databases without further manipulation.  Instead, you should use the
;     database vendor specific escape string function on each input element you
;     wish to send to a database.

 

很蛋疼。

rickone2009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql_escape_string()函数用法分析
10-22
主要介绍了mysql_escape_string()函数用法,结合实例形式讲述了mysql_escape_string()函数的功能,并分析了mysql_escape_string的使用技巧与注意事项,需要的朋友可以参考下
mysql_real_escape_string 不支持_mysql_real_escape_string()无效,即使我已连接到数据库
weixin_30802125的博客
01-21 277
我不认为我的代码是问题,因为它在我的本地服务器上工作(编辑:对不起,如果这是错误的地方问,但我不能移动到自己的ServerFault)。但是,在远程服务器上,我无法使mysql_real_escape_string()正常工作。数据库连接正在工作,并在调用该函数之前连接。当我尝试echo $_POST['email'];时,我获得了正确的数据,但是当我尝试echo mysql_real_escap...
151 php SQL注入的例子 & mysql_real_escape_string
fancivez的专栏
03-25 1676
SQL注入的例子mysql_real_escape_stringmysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false一个注入的例子<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con) { d
不执行数据库查询 mysql_real_escape_string,使用mysqli_real_escape_string时查询不运行
weixin_39599342的博客
01-30 82
I'm converting an old script to be compliant with MySQLi and ran in to an issue...$link = mysqli_connect("localhost", "user", "password", "database");if (mysqli_connect_errno()) {printf("Connect faile...
mysql_real_escape_string php_如何在PHP中使用mysql_real_escape_string函数
weixin_30523059的博客
02-18 206
因此,在我正在编写的此程序中,我实际上是使用表单从用户那里获取SQL查询。然后,我继续在数据库上运行该查询。我知道不要“信任”用户输入,因此我想对输入进行清理。我正在尝试使用,mysql_real_escape_string但未能成功使用。输入以下内容,这就是我要尝试的内容: select * from Actor;//"query" is the input string:$clean_stri...
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
php mysql_real_escape_string函数用法与实例教程
10-26
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
mysql已经废弃了_mysql 废弃库的小坑
weixin_42364551的博客
02-02 470
php -r "echo mysql_escape_string(1856622412060319);"Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead. in Command line code on line 1Call Stack:0.0...
PHP mysql_real_escape_string的使用陷阱
dongguangming2012的专栏
04-25 1198
php函数mysql_real_escape_string用于转义字符串中和SQL 有关的特殊字符,防止SQL注入攻击。 参数 描述 string 必需。规定要转义的字符串。 connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。 注意:如果没有连接MySQL就是用这个函数那么返回值总是false
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 182
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
sql注入详解
m0_67392811的博客
06-12 5835
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
mysql sql注入漏洞修复_SQL注入漏洞解析与靶场复现
weixin_36043375的博客
02-26 1195
1. 概述SQL注入(SQL Injectioin)漏洞是注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中,前端的数据传入后端时,没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行,从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限沦陷等一系列危害。注入攻击的本质是把用户输入的数据当作代码执行。造成注入攻击有两个关键条件:①用户能够...
mysql_escape_string导致的数据回滚
liangkwok的专栏
03-11 1562
2013年08月22日,一个关于用户数据的血案导致两位开发人员,一位DBA,一位业务运维通宵加班恢复用户数据,史称822血案; 此血案由一个名叫mysql_escape_string的函数导致; 下面将此血案的发现、初步解决、定位以及最终解决的过程记录如下,涉及到相关的知识点也顺便记录。 【血案出现】 8.22上午9点,开发接到数单用户投诉,用户投诉的具体内容为:半小时前登录XX游戏,
mysql 多字节编码漏洞_PHP字符编码绕过漏洞--addslashes、mysql_real_escape漏洞
weixin_39912580的博客
02-01 178
在上次活动开发过程中,有个程序写了下面这样的语句:$sName = $_GET['name'];$sName = addslashes($sName);$sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";var_dump($sql);exit();结果扫描工具一扫描,发现问题来了,被扫除了S...
mysql_real_escape_stringmysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值