PHP mysql_real_escape_string() 函数

最新推荐文章于 2021-04-14 11:58:08 发布
最新推荐文章于 2021-04-14 11:58:08 发布
阅读量81 收藏
点赞数
文章标签: php 数据库 python
原文链接:https://my.oschina.net/ajian2014/blog/315621
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

PHP MySQL 函数

定义和用法

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • \x00

  • \n

  • \r

  • \

  • '

  • "

  • \x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)

参数描述
string必需。规定要转义的字符串。
connection可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

说明

本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于 mysql_query()

提示和注释

提示:可使用本函数来预防数据库攻击。

例子

例子 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"// 更多代码mysql_close($con);
?>

例子 2

数据库攻击。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);// 不检查用户名和密码
// 可以是用户输入的任何内容,比如:$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 一些代码...

mysql_close($con);
?>

那么 SQL 查询会成为这样:

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''

这意味着任何用户无需输入合法的密码即可登陆。

例子 3

预防数据库攻击的正确做法:

<?php
function check_input($value)
{// 去除斜杠if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }// 如果不是数字则加引号if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }// 进行安全的 SQL$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

PHP MySQL 函数


转载于:https://my.oschina.net/ajian2014/blog/315621

weixin_34119545
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 177
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
PHP中的mysql_real_escape_string函数
tycoon的专栏
12-30 318
http://blog.csdn.net/kylinbl/article/details/7653054
mysql_real_escape_string php_如何在PHP中使用mysql_real_escape_string函数
weixin_30523059的博客
02-18 203
因此,在我正在编写的此程序中,我实际上是使用表单从用户那里获取SQL查询。然后,我继续在数据库上运行该查询。我知道不要“信任”用户输入,因此我想对输入进行清理。我正在尝试使用,mysql_real_escape_string但未能成功使用。输入以下内容,这就是我要尝试的内容: select * from Actor;//"query" is the input string:$clean_stri...
php mysql_real_escape_string函数用法与实例教程
10-26
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
12-18
使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。 mysql_real_escape_string防sql注入攻击 mysql_real_escape_...
php addslashes和mysql_real_escape_string
12-17
很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27...
php数据库安全字符,php mysql_real_escape_string构建安全的SQL语句
weixin_36406678的博客
04-14 182
mysql_real_escape_string介绍mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。mysql_real_escape_string 优于addslashes。因为 mysql_real_escape_string考虑到字符集的问题因此可以安全用于mysql...
php mysql_real_escape_string() 函数
苦艾文艺
10-05 534
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ’ ” \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
php mysql_real_php mysql_real_escape_string函数用法与实例教程
weixin_35927281的博客
02-28 213
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符转义特殊字符在unescaped_string,考虑到当前字符的连接设置,以便它在的地方是安全的在mysql_query()它。如果二进制数据要插入,这个函数必须被使用下列字符受影响:如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法mysql_real_escape_str...
mysql real java_PHP中的mysql_real_escape_string函数
weixin_33573700的博客
02-07 96
根据你的使用目的我觉得这个函数有两方面的用途:防止SQL Injection攻击,也就是你必须验证用户的输入操作数据的时候避免不必要的字符导致错误mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:\x00\n\r\'"\x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。攻击的例子[1]例子 1$con =...
php mysql_real_php mysql_real_escape_string()函数_PHP教程
weixin_42469000的博客
02-02 100
function opendatabase ($host,$user,$pass) {try {if ($db = mysql_connect ($host,$user,$pass)){return $db;} else {throw new exception (“Sorry, could not connect to mysql.”);}} catch (exception $e) {echo...
PHP防SQL注入不要再用addslashes和mysql_real_escape_string
qq_36705093的博客
04-10 4399
作者:深蓝的镰刀链接:https://blog.csdn.net/hornedreaper1988/article/details/43520257著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_str...
mysql_real_escape_string转变了哪些字符
xiuzhentianting的博客
02-18 2904
256个0-255的字符串,变成了263个字符,多了7个,也就是转换了7个字符。 00->5c 30  0x00->\0 0a->5c 6e  换行->\n 0d->5c 72  回车->\r 1a->5c 5a  代替->\Z 22->5c 22  "   ->\" 27->5c 27  '   ->\' 5c->5c 5c  \   ->\\
mysql_real_escape_stringmysql_escape_string区别
luoxiandong2的博客
06-27 1万+
mysql_real_escape_stringmysql_escape_string区别 两者都是过滤字符串,防止sql注入,但两者有一些区别 mysql_real_escape_string: 1.具有两个参数,其中第二个为选填参数,默认为上一个数据库链接connection 2.使用之前要先连接上数据库,否则会出错 3.在过滤字符串的时候,会考虑当前链接connection字
MySQL中如何插入blob类型数据
热门推荐
fibbery学习笔记
12-25 1万+
等具体研究完写篇完整的,现在只是作为一个标记,以免忘记mysql_real_escape_string函数mysql_real_escape_string()unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) Note th
mysql_real_escape_stringmysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值