mysql escape解码_为什么强烈建议不要使用mysql_escape_string?

最新推荐文章于 2022-11-08 09:29:31 发布
最新推荐文章于 2022-11-08 09:29:31 发布
阅读量170 收藏
点赞数
文章标签: mysql escape解码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28994227/article/details/113234590
版权

bd96500e110b49cbb3cd949968f18be7.png

Why is that?

解决方案

Because there are some extremely rare encodings supported by mysql, in which mysql_escape_string will allow an SQL injection, but mysql_real_escape_string() won't.

However, as long as your encoding is either single-byte or UTF-8, there will be no harm from mysql_escape_string() ever and one can use it with no fear.

On the other hand, it is to be noted that in fact mysql_real_escape_string() won't do any good if used by itself.

It will work as desired only if mysql driver encoding was set, using mysql_set_charset() function (or by some mysql server tweak).

Otherwise it will act exactly the same way as defamed mysql_escape_string().

Also to be noted that actually both these functions are discouraged, mostly because of improper use.

And local folks do extensively push PDO prepared statements to use instead.

As you may guess by now, PDO prepared statements won't do any good if used by itself, out of the box. Some preparations have to be taken.

One have to either

turn off emulation mode which is on by default

or set an our old friend - mysql driver encoding - while such an action is only allowed in the DSN and available only since 5.3.3.

or there will be no difference between PDO and mysql_escape_string in terms of acting for some extremely rare encodings.

Robby Robby
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql_escape_string()函数用法分析
12-18
本文实例讲述了mysql_escape_string()函数用法。分享给大家供大家参考,具体如下: 使用 mysql_escape_string() 对查询中有疑问的数据进行编码: 有一些数据例如: char query(1024); sprintf (query, "select * from my_tbl where name = '%s'",name); 如果这个时候,name 中包含了如: “0’Malley,Brian” 这样的数据就会产生这样的查询语句: select * from my_tbl where name = ‘0’Malley,Brian’ 这样就导致了错误的产
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
mysql escape 函数_mysql_escape_string()函数用法分析
weixin_32867521的博客
02-17 1791
本文实例讲述了mysql_escape_string()函数用法。分享给大家供大家参考,具体如下:使用 mysql_escape_string() 对查询中有疑问的数据进行编码:有一些数据例如:char query(1024);sprintf (query, "select * from my_tbl where name = '%s'",name);如果这个时候,name 中包含了如: "0'M...
mysql_escape_string c,如何正确的使用mysql_escape_string()函数
weixin_42356315的博客
03-23 577
如何正确的使用mysql_escape_string()函数发布时间:2020-12-31 16:18:58来源:亿速云阅读:77作者:Leah如何正确的使用mysql_escape_string()函数?相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。使用 mysql_escape_string() 对查询中有疑问的数据进行编码:有一些...
mysql使用技巧
boyhoodme的博客
12-03 490
导入数据基本语法 原文 一、loaddata 导入数据的语法 load data infile 基本语法 复制代码 load data [low_priority] [local] infile ‘file_name.txt’ [replace|ignore] into table table_name fields [terminated by ‘\t’] [[OPTIONALLY] enclosed by ‘’] [escaped by ‘’ ] [lines terminated by ‘\n’] [
mysql escape的用法_mysql_escape_string()函数用法分析
weixin_39559333的博客
01-18 1417
本文实例讲述了mysql_escape_string()函数用法。分享给大家供大家参考,具体如下:使用 mysql_escape_string() 对查询中有疑问的数据进行编码:有一些数据例如:char query(1024);sprintf (query, "select * from my_tbl where name = '%s'",name);如果这个时候,name 中包含了如: "0'M...
php mysql_real_escape_string函数用法与实例教程
10-26
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
mysql_real_escape_string和mysql_escape_string有什么本质的区别,有什么用处,为什么被弃用?
joshua317的博客
09-08 2849
本文为joshua317原创文章,转载请注明:转载自joshua317博客https://www.joshua317.com/article/48 mysql_real_escape_string和mysql_escape_string有什么本质的区别,有什么用处,为什么被弃用? 1.官方说明: 1.1 mysql_real_escape_string (PHP 4 >= 4.3.0, PHP 5) mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的.
MySQL escaped by用法
街道口扛把子的博客
11-08 892
测试的效果是,设置转义符号,不加这个设置默认是反斜杠\
mysql load escaped_MySQL load语句详细介绍
weixin_30043999的博客
01-27 614
load的语法复制代码 代码如下:LOAD DATA [LOW_PRIORITY | CONCURRENT] [LOCAL] INFILE 'file_name.txt'[REPLACE | IGNORE]INTO TABLE tbl_name[FIELDS[TERMINATED BY 'string'][[OPTIONALLY] ENCLOSED BY 'char'][ESCAPED BY 'c...
mysql load data infile的使用
weixin_30532987的博客
04-25 232
LOAD DATA [LOW_PRIORITY | CONCURRENT] [LOCAL] INFILE 'file_name.txt' [REPLACE | IGNORE] INTO TABLE tbl_name [FIELDS [TERMINATED BY 'string'] [[OPTIONALLY] ENCLOSED BY 'char'] [...
Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() inste
demodata的博客
04-25 1280
这个问题一般是在php4以上中 才会遇到的 首先 找到 Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead. in......... 209 然后把函数替换成mysql_real_escape_string();这个  问
Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() inst
csdn_ndx的专栏
04-26 1104
自己遇到的问题 并解决。
mysql_escape_string 宽字符_mysql_real_escape_string()函数 在不同版本php中不同处理!
weixin_33453301的博客
02-07 248
发现mysql_real_escape_string() 在不同php版本中表现不同。网上看安全开发文档的时候,文档中说,正确使用mysql_real_escape_string()前需要指定mysql连接字符集即使用mysql_set_charset()函数,如果不指定字符集且使用的字符编码是类似GBK的宽字符,可能导致宽字符注入。这里我做了一个小实验,只使用mysql_real_escape...
mysql escape 函数_函数mysql_real_escape_string的使用详解
weixin_42517963的博客
01-27 930
[导读]mysql_real_escape_string函数转义SQL语句中使用的字符串中的特殊字符。php mysql_real_escape_string() 函数定义和用法mysql_real_escape_string() 函数转义 sql 语句中使用的字符串中的特殊字符。下列字符受影响:x00"x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法mysql_r...
mysql esacpe string 未定义,我如何解决这个错误?已弃用:mysql_escape_string():此函数已弃用;请改用mysql_real_escape_string()...
weixin_30670103的博客
01-19 361
I get stuck on the following:Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead. in /home/xtremeso/public_html/mp3/includes/class/_class_mysql.php o...
deprecated: mysql_escape_string()_解决帝国备份王报错PHP Deprecated: mysql_escape_string()
weixin_39702335的博客
01-19 252
本地测试环境是php5.4+mysql5.60,用帝国备份王备份数据库,结果出错,提示下面的错误代码:PHPDeprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead. in E:\wwwroot\piaoyun.cc\ebak\class\funct...
mysql_real_escape_string与mysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。...不建议使用 `mysql_real_escape_string`。另外,更好的方式是使用预处理语句来执行 SQL 查询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值