mysql 禁止转义_必须转义哪些字符以防止(My)SQL注入?

于 2021-01-21 08:46:23 发布
阅读量1.5k 收藏
点赞数
文章标签: mysql 禁止转义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34246826/article/details/113323818
版权

我正在使用MySQL API的功能

mysql_real_escape_string()

根据文档,它转义以下字符:

\0

\n

\r

\

'

"

\Z

现在,我查看了OWASP.org的ESAPI安全库,并在Python端口中包含以下代码(http://code.google.com/p/owasp-

esapi-python/source/browse/esapi/codecs/mysql。

py):

"""

Encodes a character for MySQL.

"""

lookup = {

0x00 : "\\0",

0x08 : "\\b",

0x09 : "\\t",

0x0a : "\\n",

0x0d : "\\r",

0x1a : "\\Z",

0x22 : '\\"',

0x25 : "\\%",

0x27 : "\\'",

0x5c : "\\\\",

0x5f : "\\_",

}

现在,我想知道是否真的需要转义所有这些字符。我知道为什么%和_在那里,它们在LIKE运算符中是元字符,但我不能简单地理解为什么它们添加退格和制表符(\ b

\ t)?如果执行查询,是否存在安全问题:

SELECT a FROM b WHERE c = '...user input ...';

用户输入中包含制表符或退格字符的地方?

我的问题在这里:为什么它们在ESAPI安全库中包含\ b \ t?在 任何 情况下,您可能需要转义那些字符?

lixiyuan198887
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP防MYSQL注入及转义存在潜在威胁的字符串插件.rar
07-14
PHP防MYSQL注入及转义存在潜在威胁的字符串插件介绍: 1.插件作用: 本插件对用户提交的信息进行过滤可以防止数据库注入,及转义用户可能提交的会被执行的脚本代码使之转为字符串,从而保证了网页的正常显示和数据库数据的安全。   2.插件说明: 阻止任何可能攻击服务器的意图,或者防止插入一些不需要的MySql命令、HTML语句或者Javascript脚本。 插件的两个个方法接受一个字符串,对它进行"过滤"处理后,就可以用在自己的网站上或MySql数据库里。 他们都需要一个参数: $string 一个需要"过滤"处理的字符串。   3.包含SanitizeString.class.php类文件,实例化,用得到的对象根据需求分别调用PIPHP_SanitizeString方法或者PIPHP_MySQLSanitizeString,前者为将可能会被执行的如js代码转义为普通字符串,后者为数据库防注入过滤。
MySQL 转义字符使用说明
12-15
MySQL中的转义字符是数据库操作中非常重要的...总之,掌握MySQL转义字符用法是确保数据正确存储和检索的关键,同时还能避免SQL注入等安全问题。在日常开发中,合理使用转义字符可以有效地增强代码的可读性和安全性。
SQL中的转义字符
12-14
SQL(结构化查询语言)中,转义字符是一个关键概念,它允许用户在字符串中插入特殊字符,如单引号、百分号和下划线,这些字符SQL语句中通常具有特定含义。转义字符使得这些特殊字符能够被当作普通文本处理,而...
php防止SQL注入详解及防范
12-19
如果必须使用字符串拼接构建SQL,应使用`mysqli_real_escape_string()`函数来转义特殊字符。 例如,使用PDO预处理的登录查询可能如下所示: ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=testdb;...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击 php防止SQL注入攻击...mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 在有些时候需要将mysql_real_escape_stri
防止xss和sql注入:JS特殊字符过滤正则
10-27
总结起来,防止XSS和SQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证和安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...
[毕业设计]VB开发的高校题库与考试管理系统(源代码+论文).zip
08-06
[毕业设计]VB开发的高校题库与考试管理系统(源代码+论文)
mysql-9.0.1-winx64-debug-test.zip
08-06
mysql
java-springboot+vue疗养院管理系统实现源码(项目源码-说明文档)
08-06
java-springboot+vue疗养院管理系统 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:Springboot 前端技术:Vue、HTML5、css、JavaScript 关键技术:springboot、vue、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
java-springboot+vue教学辅助平台实现源码(项目源码-说明文档)
08-06
java-springboot+vue教学辅助平台 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:Springboot 前端技术:Vue、HTML5、css、JavaScript 关键技术:springboot、vue、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
蚂蚁人工智能综合应用系统前端
08-06
目标通过java+python方式,实现含视频检测、视频分类、语音生成、文生图、图文检索、chatgpt、chatglm、stable-diffusion、数字人等最新主流AI大模型等的综合人工智能应用系统目标通过java+python方式,实现含视频检测、视频分类、语音生成、文生图、图文检索、chatgpt、chatglm、stable-diffusion、数字人等最新主流AI大模型等的综合人工智能应用系统目标通过java+python方式,实现含视频检测、视频分类、语音生成、文生图、图文检索、chatgpt、chatglm、stable-diffusion、数字人等最新主流AI大模型等的综合人工智能应用系统目标通过java+python方式,实现含视频检测、视频分类、语音生成、文生图、图文检索、chatgpt、chatglm、stable-diffusion、数字人等最新主流AI大模型等的综合人工智能应用系统目标通过java+python方式,实现含视频检测、视频分类、语音生成、文生图、图文检索、chatgpt、chatglm、stable-diffusion、数字人等最新主流AI
rx_a1_analysis.v
08-06
rx_a1_analysis
GolangM-Classify-mas笔记
08-06
GolangM-Classify-mas笔记
5G智慧灯杆及合杆解决方案.pptx
08-06
5G智慧灯杆及合杆解决方案.pptx
[毕业设计]VB+Access高校部门干部资料管理系统(源代码+论文).zip
08-06
[毕业设计]VB+Access高校部门干部资料管理系统(源代码+论文)
ruoyi-vue-pro定时任务
08-06
定时任务·
毕业设计,基于ASP+ACCESS开发的酒店预定管理系统,内含完整源代码,数据库,开题报告,毕业论文
08-06
毕业设计,基于ASP+ACCESS开发的酒店预定管理系统,内含完整源代码,数据库,开题报告,毕业论文 在高节奏生活的今天,人们整天在各个城市穿梭忙碌着,在过去跑到哪个城市后才能进行预定客房,现在看来是否显得太麻烦,目前很多酒店都已经开始使用通过互联网进行客房预订系统。这样进行酒店的管理就显得更加的轻松。宏都大酒店虽然已经实施了内部的c/s结构的酒店客房管理系统,但是仍然存在上述所说的问题。于是我试着帮他们制作开发能在网上实现预订客房的系统。 宏都大酒店管理信息系统中不能通过互联网方式进行客房预订,通过本次设计主要实现通过互联网方式进行客房预订。让客户足不出户坐在家里就能预订出自己想要的客房。主要功能有:酒店简介、客房简介、客房报价、客房预订信息提交,预订信息查询及修改,删除,等等)管理员信息查询、回复预订信息等功能,真正实现酒店的无纸化,电子信息化、无距离限制的进行客房信息的预订。 本软件的后台数据库也采用微软公司的大型数据库SQLSERVER,与原C/S系统的数据库SQLSERVER相同,进行了一次无缝链接,也就是说在原有SQLSERVER数据库上面进行适当的添加表,使得能保持在原
Huawei USG6000F-V600R023SPH120
08-06
Huawei USG6000F_V600R023SPH120,里面包含补丁说明书和补丁安装指导书,该补丁支持哪些型号,支持哪些版本可以安装当前补丁,请参考补丁说明书和补丁安装指导书。
如何做一个出色的班组长.ppt
08-06
如何做一个出色的班组长.ppt
后端开发笔记总结与书籍资源分享。主要包括编程语言C++、Go、Python等,
最新发布
08-06
优质项目,资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目。 本人系统开发经验充足,有任何使用问题欢迎随时与我联系,我会及时为你解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(若有),项目具体内容可查看下方的资源详情。 【附带帮助】: 若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步。 【本人专注嵌入式领域】: 有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为你提供帮助,CSDN博客端可私信,为你解惑,欢迎交流。 【适合场景】: 相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可以基于此项目进行扩展来开发出更多功能 【无积分此资源可联系获取】 # 注意 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担。 2. 部分字体以及插图等来自网络,若是侵权请联系删除。积分/付费仅作为资源整理辛苦费用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值