php mysql_escape_string乱码_PHP mysql_real_escape_string的一处注意

最新推荐文章于 2021-03-25 20:50:07 发布
最新推荐文章于 2021-03-25 20:50:07 发布
阅读量99 收藏
点赞数
文章标签: php mysql_escape_string乱码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30128191/article/details/113515440
版权

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

x00

n

r

'

"

x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

用法为mysql_real_escape_string(string,connection)

参数string,必需。规定要转义的字符串。

参数connection,可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于 mysql_query()。使用本函数来预防数据库攻击。

mysql_real_escape_string()的简单使用

$con = mysql_connect("localhost", "hello", "321");

if (!$con)

{

die('Could not connect: ' . mysql_error());

}

// 获得用户名和密码的代码

// 转义用户名和密码,以便在 SQL 中使用

$user = mysql_real_escape_string($user);

$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE

user='" . $user . "' AND password='" . $pwd . "'"

// 更多代码

mysql_close($con);

?>

SQL被注入的情况(没有使用mysql_real_escape_string())

数据库攻击。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么:

$con = mysql_connect("localhost", "hello", "321");

if (!$con)

{

die('Could not connect: ' . mysql_error());

}

$sql = "SELECT * FROM users

WHERE user='{$_POST['user']}'

AND password='{$_POST['pwd']}'";

mysql_query($sql);

// 不检查用户名和密码

// 可以是用户输入的任何内容,比如:

$_POST['user'] = 'john';

$_POST['pwd'] = "' OR ''='";

// 一些代码...

mysql_close($con);

?>

那么 SQL 查询会成为这样:

SELECT * FROM users

WHERE user='john' AND password='' OR ''=''

这意味着任何用户无需输入合法的密码即可登陆。

预防数据库攻击的正确做法:

function check_input($value)

{

// 去除斜杠

if (get_magic_quotes_gpc())

{

$value = stripslashes($value);

}

// 如果不是数字则加引号

//if (!is_numeric($value))

//{

$value = mysql_real_escape_string($value);

//}

return $value;

}

$con = mysql_connect("localhost", "hello", "321");

if (!$con)

{

die('Could not connect: ' . mysql_error());

}

// 进行安全的 SQL

$user = check_input($_POST['user']);

$pwd = check_input($_POST['pwd']);

$sql = "SELECT * FROM users WHERE

user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);

?>

一些经验

mysql_escape_string()也起到差不多的效果。关于这两个函数,记得我在用mysql_real_escape_string() 这个函数时,程序总是出错,不知道错误的原因,后来换成mysql_escape_string() 这个函数时,就可以了。查找手册,发现在用mysql_real_escape_string() 时,必须要先建立数据库连接,否则则报错 -___-|||

mysql_real_escape_string() calls MySQL's library function mysql_escape_string, which prepends backslashes to the following characters: NULL, x00, n, r, , ', " and x1a

mysql_escape_string() does not escape % and _.

This function is identical to mysql_real_escape_string() except that mysql_real_escape_string() takes a connection handler and escapes the string according to the current character set. mysql_escape_string() does not take a connection argument and does not respect the current charset setting.

// Connect

$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')

OR die(mysql_error());

// Query

$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",

mysql_real_escape_string($user),

mysql_real_escape_string($password));

?>

金猪升级包
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql_escape_string 替代方法,关于mysql:mysql_real_escape_string的安全替代品吗? (PHP)...
weixin_31653645的博客
03-19 693
我正在将变量传递给执行查询的函数MySQL连接仅在函数内部发生,并在函数内部关闭我希望能够在将字符串发送给函数之前安全地转义字符串我无法使用mysql_real_escape_string,因为它需要MySQL连接(仅在函数内部进行)我知道简单的答案是在函数内部转义字符串,但是我不能这样做,因为我需要发送字符串的一些转义的和一些非转义的部分例如,我需要运行以下函数:myquery("'" . es...
php mysql_real_escape_string() 函数
苦艾文艺
10-05 536
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ’ ” \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
PHP - mysql_real_escape_string()与mysql_escape_string()
Time
03-15 9674
1.相同点: 两者都可以将查询字符串中的特殊字符进行转义 (能够被转义的字符) \x00 \n \r \ ' " \x1a (不能被转义的字符) % _ 2.不同点: (1)mysql_real_escape_string() 1)它有两个参数 参数string,必需。规定要转义的字符串。
mysql escape php_PHP:MySQL函数mysql_escape_string()的用法
weixin_42511702的博客
02-01 348
mysql_escape_string(PHP 4 >= 4.0.3, PHP 5)mysql_escape_string —转义一个字符串用于 mysql_query说明string mysql_escape_string( string $unescaped_string)本函数将 unescaped_string 转义,使之可以安全用于mysql_query()。Note:mysql_...
php mysql_escape_string 替代方法,PHP中addslashes与mysql_escape_string的区别分析
weixin_30923011的博客
03-19 338
本文实例分析了PHP中addslashes与mysql_escape_string的区别。分享给大家供大家参考,具体如下:1.在插入数据时两者的意义基本一样.区别只在于addslashes在magic_quotes_sybase=on时将“ '”转换成“ ' '”在magic_quotes_sybase=off时将“ '”转换成“\ '”而mysql_escape_string总是将“ '”转换成...
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
php mysql_real_escape_string函数用法与实例教程
10-26
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
PHP中addslashes与mysql_escape_string的区别分析
10-22
主要介绍了PHP中addslashes与mysql_escape_string的区别,简单分析了addslashes与mysql_escape_string在使用过程中的区别,具有一定参考借鉴价值,需要的朋友可以参考下
deprecated: mysql_escape_string()_php版本之殇
weixin_36002897的博客
01-26 235
苦心学习Php有一段时间了,仍然停留在入门初级阶段,仍然写不出自己的作品来,就算照着别人的现成的教材,一字不落的写在板板上,仍然会有层出不穷的错误,揪其因果,实乃版本之故。有位大虾,曾写下如下博文:从PHP5.3开始加入了一个新的报错级别DEPRECATED,即将废弃/过期。在php5.3被放弃的函数有:call_user_method() //使用call_user_func()替代call_u...
mysql_real_escape_string php_如何在PHP中使用mysql_real_escape_string函数
weixin_30523059的博客
02-18 204
因此,在我正在编写的此程序中,我实际上是使用表单从用户那里获取SQL查询。然后,我继续在数据库上运行该查询。我知道不要“信任”用户输入,因此我想对输入进行清理。我正在尝试使用,mysql_real_escape_string但未能成功使用。输入以下内容,这就是我要尝试的内容: select * from Actor;//"query" is the input string:$clean_stri...
mysql escape解码_为什么强烈建议不要使用mysql_escape_string
weixin_28994227的博客
01-19 170
Why is that?解决方案Because there are some extremely rare encodings supported by mysql, in which mysql_escape_string will allow an SQL injection, but mysql_real_escape_string() won't.However, as long as y...
php escape的用法,PHP mysqli_real_escape_string() 函数用法及示例
weixin_31235395的博客
03-25 715
PHP mysqli_real_escape_string() 函数用法及示例mysqli_real_escape_string()函数根据当前连接的字符集,对于 SQL 语句中的特殊字符进行转义。定义和用法mysqli_real_escape_string()函数用来对字符串中的特殊字符进行转义, 以使得这个字符串是一个合法的 SQL 语句。 传入的字符串会根据当前连接的字符集进行转义,得到一...
php escape作用,PHP pg_escape_string 用法 手册 | 示例代码
weixin_39948247的博客
03-10 347
strata_ranger at hotmail dot comForthose curious, the exact escaping performed on the string may vary slightly depending on your database configuration.For example, if your database's standard_conform...
php mysql_escape_string 替代方法,PHP_PHP函数addslashes和mysql_real_escape_string的区别,首先:不要使用mysql_escape_str...
weixin_36027600的博客
03-19 496
PHP函数addslashes和mysql_real_escape_string的区别首先:不要使用mysql_escape_string,它已被弃用,请使用mysql_real_escape_string代替它。mysql_real_escape_string和addslashes的区别在于:区别一:addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个...
只使用escape_string过滤的风险_PHP代码审计
weixin_30321449的博客
04-17 235
目录 mysql_real_escape_string()用法 使用案例 Int型参数拼接 只使用类似PHP mysql_real_escape_string() 函数做过滤有风险; mysql_real_escape_string()用法 mysql_real_escape_...
解决MySQL中文字符集
心梦无痕
01-17 249
文章目录1. 问题现象2. 解决方案3. 几种设置字符集的方式和对比 1. 问题现象 最近出现程序在运行一段时间之后,新入到MySQL中的数据出现中文码,每次重启程序就会好,然后过段时间又会出现问题? 2. 解决方案 经过排查怀疑是因为在程序入库程序执行中途,出现过与MySQL自动重连的操作,在自动重连以后所有配置都会使用默认的,所以字符集也相应会变成默认,而不再是刚开始建立连接时使用的UTF-...
php用了mysqli_escape_string()函数后变量丢失(无法往后传了)
qq_36357386的博客
04-16 2271
这个小问题困扰了一个周末啊,不过后来还是解决了。先上代码<?php error_reporting(0); function query_db($qstring) { include('db_login.php'); //connection details require_once('DB.php'); //PEAR DB $connection = DB::...
mysql_real_escape_string与mysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双引号等)在 SQL 语句中的含义进行转义,以避免 SQL 注入攻击。但是这个函数已经被废弃,不建议使用。 `mysqli_real_escape_string` 是用于 MySQLi 扩展库的函数。和 `mysql_real_escape_string` 类似,它也是将特殊字符进行转义。不同的是,它需要连接到数据库才能使用,并且支持多个字符集。 总的来说,如果你使用的是 MySQLi 扩展库,应该使用 `mysqli_real_escape_string` 函数来防止 SQL 注入攻击。不建议使用 `mysql_real_escape_string`。另外,更好的方式是使用预理语句来执行 SQL 查询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值