不执行数据库查询 mysql_real_escape_string_安全替代mysql_real_escape_string吗? (PHP)

最新推荐文章于 2023-03-16 10:23:02 发布
最新推荐文章于 2023-03-16 10:23:02 发布
阅读量170 收藏
点赞数
文章标签: 不执行数据库查询 mysql_real_escape_string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32211137/article/details/113551489
版权

我正在将变量传递给执行查询的函数

MySQL连接仅在函数内部发生,并在函数内部关闭

我希望能够在将字符串发送给函数之前安全地转义字符串

我无法使用mysql_real_escape_string,因为它需要MySQL连接(仅在函数内部进行)

我知道简单的答案是在函数内部转义字符串,但是我不能这样做,因为我需要发送字符串的一些转义的和一些非转义的部分

例如,我需要运行以下函数:

myquery("'" . escape_me("My string") . "'");

请注意,我要发送两个不加转义的撇号,其中带有转义的字符串.由于这个原因,我无法对myquery函数内部的参数做一揽子mysql_real_escape_string.

我发现以下代码,建议我可以将其用作mysql_real_escape_string的替代方法:

// escape characters

function escape_me($value) {

$return = '';

for($i = 0; $i < strlen($value); ++$i) {

$char = $value[$i];

$ord = ord($char);

if($char !== "'" && $char !== "\"" && $char !== '\\' && $ord >= 32 && $ord <= 126)

$return .= $char;

else

$return .= '\\x' . dechex($ord);

}

return $return;

}

我不知道此功能对多字节攻击是否安全,但我认为每次查询时也需要撤消该功能

例如,输入:

在数据库中测试3的“确定”变为测试3x27s x22OKx22

所以我的主要问题是:

您是否知道是否可以使用另一个函数替代mysql_real_escape_string来安全地转义字符?

RoseofVersailles
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
mysql_real_escape_stringmysql_escape_string有什么本质的区别,有什么用处,为什么被弃用?
joshua317的博客
09-08 2774
本文为joshua317原创文章,转载请注明:转载自joshua317博客https://www.joshua317.com/article/48 mysql_real_escape_stringmysql_escape_string有什么本质的区别,有什么用处,为什么被弃用? 1.官方说明: 1.1 mysql_real_escape_string (PHP 4 >= 4.3.0, PHP 5) mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的.
mysql real escape,mysql_real_escape_string()函数
weixin_26870929的博客
03-17 1165
mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )在上述语法中涉及到的参数说明如下。unescaped_...
mysql_real_escape_string
weixin_34033624的博客
03-26 171
mysql_real_escape_string (PHP 4 >= 4.3.0, PHP 5) mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 说明 string mysql_real_escape_string ( string $unescaped_string [, resource ...
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 177
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
mysql_real_escape_string()函数
weixin_33725515的博客
03-18 295
mysql_real_escape_string()函数 mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下: string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] ) 在上...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
php mysql_real_escape_string函数用法与实例教程
10-26
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符
mysql escape 函数_函数mysql_real_escape_string的使用详解
weixin_42517963的博客
01-27 900
[导读]mysql_real_escape_string函数转义SQL语句中使用的字符串中的特殊字符。php mysql_real_escape_string() 函数定义和用法mysql_real_escape_string() 函数转义 sql 语句中使用的字符串中的特殊字符。下列字符受影响:x00"x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法mysql_r...
mysql_real_escape_string()--mysql数据库
飞信天下专栏
10-13 1607
unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length)
sql-lab (36~40)包括堆叠注入,Mysql_real_escape_string 和addslashes区别(后持续更新)
m0_62879498的博客
01-20 650
(36~40)包括堆叠注入,Mysql_real_escape_string 和addslashes区别 sql-lab-36 和前面的关卡一样,本题对 ’ 进行了注入,我们可以利用以前学过的办法,使用 %df 进行一个绕过。 判断注入点:?id=1 %df’ and 1=2 – q 判断字段数:id=1 %df’ order by 4-- q 判断显错位:?id=-1 %df’ union select 1,2,3-- q 判断库名:?id=-1 %df’ union select 1,datab
php mysql_escape_string 替代方法,关于mysqlmysql_real_escape_string安全替代品吗? (PHP)...
weixin_31653645的博客
03-19 685
我正在将变量传递给执行查询的函数MySQL连接仅在函数内部发生,并在函数内部关闭我希望能够在将字符串发送给函数之前安全地转义字符串我无法使用mysql_real_escape_string,因为它需要MySQL连接(仅在函数内部进行)我知道简单的答案是在函数内部转义字符串,但是我不能这样做,因为我需要发送字符串的一些转义的和一些非转义的部分例如,我需要运行以下函数:myquery("'" . es...
解决Mysql弃用模块错误Deprecated: mysql_query(): The mysql extension is deprecated and will be remove...
qq_22243075的博客
03-16 893
Deprecated:mysql_connect(): The mysql extension is deprecated and will be removed in the future:use mysqli or PDO instead in,意思是mysql_connect()被弃用,请你使用mysqli或者PDO来替代。
Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() inste
demodata的博客
04-25 1265
这个问题一般是在php4以上中 才会遇到的 首先 找到 Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead. in......... 209 然后把函数替换成mysql_real_escape_string();这个  问
Deprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() inst
csdn_ndx的专栏
04-26 1092
自己遇到的问题 并解决。
php mysql addslashes_PHP函数 mysql_real_escape_string 与 addslashes 的区别
weixin_33304092的博客
01-19 147
addslashes和mysql_real_escape_string都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢?首先,我们还是从PHP手册入手:手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到,只是说了一句:注意:mysql_...
mysql_real_escape_string()详解
why is this
09-11 2282
 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) Note that mysql must be a valid, open connection. This is needed because the escaping depend
php mysql_escape_string 替代方法,PHP_PHP函数addslashes和mysql_real_escape_string的区别,首先:不要使用mysql_escape_str...
weixin_36027600的博客
03-19 483
PHP函数addslashes和mysql_real_escape_string的区别首先:不要使用mysql_escape_string,它已被弃用,请使用mysql_real_escape_string代替它。mysql_real_escape_string和addslashes的区别在于:区别一:addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个...
deprecated: mysql_escape_string()_解决帝国备份王报错PHP Deprecated: mysql_escape_string()
weixin_39702335的博客
01-19 248
本地测试环境是php5.4+mysql5.60,用帝国备份王备份数据库,结果出错,提示下面的错误代码:PHPDeprecated: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead. in E:\wwwroot\piaoyun.cc\ebak\class\funct...
mysql_real_escape_stringmysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值