mysql中sal_mysql_real_escape_string()与addsalashes()的区别

最新推荐文章于 2023-10-27 15:19:53 发布
最新推荐文章于 2023-10-27 15:19:53 发布
阅读量236 收藏
点赞数
文章标签: mysql中sal
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29607629/article/details/114342181
版权

数据库的防sql注入是作为一个网站开发程序员的常识,作为php程序员,想要解决这个问题,有很多种方法,今天就来谈一谈:

首先:不要使用mysql_escape_string了,它已被弃用,请使用mysql_real_escape_string或者addslashes代替它。

那么mysql_real_escape_string和addslashes的区别呢?

第一:

与addslashes对比,mysql_real_escape_string同时还对\r、\n和\x1a进行转义。看来,这些字符必须正确地告诉MySQL,否则会得到错误的查询结果。

这是不使用addslashes进行转义的原因之一。

第二:

addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个包含字节编码之外的其他编码的字符串,它会很愉快地把所有值为字符‘、“、\和\x00的字节进行转义。如果你正在使用不同于8位和UTF-8的其它字符,这些字节的值不一定全部都是表示字符‘、“、\和\x00。可能造成的结果是,MySQL接收这些字符后出现错误。

如果要修正这个bug,可尝试使用iconv函数,将变量转为UTF-16,然后再使用addslashes进行转义。

这是不使用addslashes进行转义的另一个原因。

下面是具体的示例:

addslashes V.S. mysql_real_escape_string

在GBK里,0xbf27不是一个合法的多字符字符,但0xbf5c却是。在单字节环境里,0xbf27被视为0xbf后面跟着0×27(‘),同时0xbf5c被视为0xbf后面跟着0x5c(\)。

一个用反斜杠转义的单引号,是无法有效阻止针对MySQL的SQL注入攻击的。如果你使用addslashes,那么,我(攻击者,下同)是很幸运的。我只要注入一些类似0xbf27,然后addslashes将它修改为0xbf5c27,一个合法的多字节字符后面接着一个单引号。换句话说,我可以无视你的转义,成功地注入一个单引号。这是因为0xbf5c被当作单字节字符,而非双字节。

想要避免这种漏洞,使用mysql_real_escape_string、准备语句(Prepared Statements,即“参数化查询”)或者任意一款主流的数据库抽象类库。

胡俊琪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MYSQL_DQL思维导图
09-24
### MySQL DQL思维导图详解 #### 数据查询语言(DQL) 数据查询语言(Data Query Language,简称DQL)主要用于从数据库检索数据。在SQL语言,DQL是最常用的部分之一,它允许用户通过简单的命令来获取所需的...
ts_sal_apidoc
04-17
SAL API是LSST(Large Synoptic Survey Telescope)项目的一个重要组件,它提供了一种与LSST系统进行交互的方式,允许用户访问和控制望远镜的各种功能。这个“apidoc”部分意味着它是API的文档,通常包括接口定义...
PHP函数 mysql_real_escape_stringaddslashes 的区别
weixin_34138521的博客
11-28 123
addslashes和mysql_real_escape_string都是为了使数据安全的插入到数据库而进行的过滤,那么这两个函数到底是有什么区别呢? 首先,我们还是从PHP手册入手: 手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。 mysql_real_escape_string转义的字符并没有被提到,只是说了一句...
MYSQL mysql_real_escape_stringaddslashe区别
橙色卡布奇诺
08-04 3799
mysql_real_escape_string(); addslashes();以上两个都是服务器发送的转义字符,都是为了使数据安全的插入到数据库而进行过滤.那么这两个函数到底是有什么区别呢?? 从PHP手册上查看 mysql_real_escape_string – 转义 SQL 语句使用的字符串的特殊字符,并考虑到连接的当前字符集。 注意: mysql_real_escape_s
(转)addslashes与mysql_real_escape_string区别
jackyrongvip的专栏
07-01 1695
我们为了更深层次的探究这两个函数的不同..还是去看一看PHP的源码吧.. 这是PHP的addslashes函数.. PHP_FUNCTION(addslashes)  {      zval **str;      if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &str) == FAILURE) {         
mysql_real_escape_stringaddslashes区别
resilient的博客
08-04 909
mysql_real_escape_string(); addslashes(); 1 2 以上两个都是服务器发送的转义字符,都是为了使数据安全的插入到数据库而进行过滤.那么这两个函数到底是有什么区别呢?? 从PHP手册上查看 mysql_real_escape_string – 转义 SQL 语句使用的字符串的特殊字符,并考虑到连接的当前字符集。注意: mysql_real_esca...
mysql模糊查询sal怎么写_Mysql基础常用的sql语句总结1
weixin_30543595的博客
01-19 390
数据库及表操作创建、删除、查看数据库create database mysql1 charset utf8;drop database mysql1;show databases;use mysql1;创建、删除、查看表create table mytab(id int primary key auto_increment,name varchar(50),gender varchar(10) n...
demo.rar_DEMO_动软_数据库sal in
09-24
【标题】"demo.rar_DEMO_动软_数据库sal in" 涉及的主要知识点包括动软技术、三层架构、数据库管理系统以及.NET框架与Visual Studio的使用。 动软(Gsoft)是一家专注于软件开发工具和服务的公司,其提供的三层架构...
car-sal.zip_visual c
09-24
首先,"car-sal"很可能代表"Car Sale"或"Car Salon",暗示这是一个与汽车销售或展示相关的停车场管理系统。在程序设计,可能会包括车辆入库、出库、车位状态查询、费用计算等功能模块。在C++编程,这些功能可以...
解决MySQL 5.7.9版本sql_mode=only_full_group_by问题
12-16
MySQL 5.7.9版本,引入了一个新的...当使用GROUP BY语句时,如果你的SELECT列表包含不在GROUP BY子句的非聚合列,且这些列与GROUP BY子句的列没有函数依赖关系,MySQL会抛出错误,如以下示例所示: ```sql ...
php对比辨析之 mysql_escape_string & mysql_real_escape_string & addsalshes
weixin_30764771的博客
10-22 82
概述: addslashes和mysql_real_escape_string.都是为了使数据安全的插入到数据库而进行过滤. addslashes 转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。 mysql_real_escape_string mysql_real_escape_string转义的字符并没有被提到.只是说了一句注意: my...
mysql模糊查询sal怎么写_MySQL条件查询
weixin_35012177的博客
01-28 530
MySQL条件查询条件查询需要用到where语句,where必须放到from语句表的后面。支持如下运算符:运算符说明=等于<>或!=不等于<小于<=小于等于>大于>=大于等于between …and ….两个值之间,等同于 >= and <=is null为null(is not null 不为空)and并且or或者in包含,相当于多个or(not...
mysql模糊查询sal怎么写_MySQL操作符条件查询
weixin_35703208的博客
01-28 838
MySQL操作符包括很多种,通过前面的文章,相信大家已经认识MySQL比较操作符的等号和不等号操作符了,这篇文章对MySQL操作符条件查询的相关操作进行简单的介绍,相信会对正在学习MySQL数据库的朋友们起到一定的帮助。在学习MySQL操作符条件查询前,先来认识一下MySQL操作符的类型都有哪些:(1)算术运算符,执行算术运算,例如:加、减、乘、除等;(2)比较运算符,包括大于、小于、等于或者不...
数据库概念和sal语句
最新发布
abc13245821907的博客
10-27 476
数据库概念和sal语句数据:数字信息 据:属性对一系列对象的具体属性的描述的集合。数据库:数据库就是用来组织(各个数据之间是有关联,是按照规则组织起来的),存储和管理(对数据的增、删、改、查)数据的仓库。数据库是企业的重要信息资产,在使用数据库时,要注意(查和增,无所谓,但是删和改,要谨慎!数据库管理系统(DBMS):实现对数据的有效组织,管理和存取的系统软件数据库是一个系统,是一个人机系统,硬件,oS,数据库,DBMS和数据库的用户共同组成。
MySQL数据库学习
m0_51634934的博客
06-06 1521
MySQL数据库学习 综述 数据库 DataBase,简称DB。按照一定格式存储数据的一些文件的组合。 实际上是一堆文件,而这些文件存储了具有特定格式的数据。 数据管理系统 DataBaseManagement,简称DBMS。数据库管理系统是专门用来管理数据库数据的,数据库管理系统可以对数据库当的数据进行增删改查。 常见的数据库管理系统: MySQL、Oracle、MS SqlServer、DB2、sybase等… SQL(结构化查询语言) 编写SQL语句,DBMS执行SQL语句,最终来完成
基础的mysal语言(下)
qq1069006993的博客
06-29 832
1.对查询结果进行分组计算: select col1,col2,···from 表名 where 条件 group by 某个属性(根据某个属性分组,group by 后的属性值相同的为一组) 如图001; 2.连表语句: select 别名.属性1,别名.属性2,··· from 表名-别名 inner join 表名-别名 on 关系 left join 可以一起查出左边有; right join 可以查出右边有的;(关键字前面的表为左边) select 别名.属性1,别名.属性2,··· from
SQL注入
weixin_44558065的博客
08-01 5335
SQL注入 概述:SQL注入是指攻击者通过把恶意SQL命令插入到web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而欺骗服务器执行恶意的SQL命令的一种攻击方式(多年蝉联OWASP高危漏洞前三名!!!) 原理 ...
SQL手记
qq_45791294的博客
05-31 106
定义:攻击者通过把恶意sql命令插入到web表单的输入域或页面请求的查询字符串,并且插入的恶意sql命令会导致原有sql语句作用发生改变,从而达到欺骗服务器执行恶意sql命令的攻击。 原因: 用户能够提交非法内容 sqlmap get型注入流程 寻找注入点: 基于方法是参数后面加单引号,观察其返回页面的内容。由于添加单引号会导致sql语句执行错误,因此,若存在SQL注入漏洞,当前页面会报错,或者出现查询内容不显示的情况 1=1 1=2测试 现有三个连接 1 为正常连接 2 为 1=1 3 为1=2 页面
MySQL基本语法
weixin_43267534的博客
11-07 263
常用命令: 1.创建表的时候使用到的数据类型 char 字符 char(10) abcxxxxxxx 定长 varchar 字符串 varchar(10) abc 变长 abcde 5个字符 int 整数 float 单精度 double 双精度 date 日期 年月日 timestamp 年月日 时分秒 详细可以查看网站: http://www.runoob.com/mysql/...
mysql,删除存储函数fun_sal_bynam,并提供代码
05-24
要删除一个存储函数,你可以使用MySQL的DROP FUNCTION语句。假设你要删除名为`fun_sal_bynam`的存储函数,可以这样写: ``` DROP FUNCTION IF EXISTS fun_sal_bynam; ``` 这个语句将首先检查函数是否存在(使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值