PHP安全过滤字符串 addslashes()与stripsashes()

最新推荐文章于 2022-03-15 17:11:38 发布
最新推荐文章于 2022-03-15 17:11:38 发布
阅读量152 收藏
点赞数
文章标签: php 数据库

 为了数据安全,防止注入需要过滤$_POST获得的字符串,php自带了一个过滤函数addslashes()。

将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\'reilly。

举个例子:

 <?php 

$str="Is your name O'reilly";
echo addslashes($str);

 //结果:Is your name O\'reilly

?>

如上就按照这么一个结果存数据库里边了,数据放入数据库时需使用addslashes()函数的,但使用之后,

字符串会带着斜杠存入数据库中;取出数据时使用stripslashes()函数将斜杠去掉;
这两个的使用是相互结合的,缺一不可!

weixin_34279184
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防止sql注入-PHP防SQL注入不要再用addslashes和htmlspecialchars()和addslashes()函数
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-09 3万+
A、首先说说htmlspecialchars()和addslashes()函数吧: 在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经nul...
PHP字符编码绕过漏洞--addslashes、mysql_real_escape漏洞
Able
05-12 1114
$sName = $_GET['name'];  $sName = addslashes($sName);  $sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";  var_dump($sql);   exit();  结果扫描工具一扫描,发现问题来了,被扫除了SQL注入
mysql 多字节编码漏洞_PHP字符编码绕过漏洞--addslashes、mysql_real_escape漏洞
weixin_39912580的博客
02-01 189
在上次活动开发过程中,有个程序写了下面这样的语句:$sName = $_GET['name'];$sName = addslashes($sName);$sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";var_dump($sql);exit();结果扫描工具一扫描,发现问题来了,被扫除了S...
addslashes deep php,addslashes()函数绕过
weixin_29799209的博客
03-28 872
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
php_addslashes绕过与写入文件配置getshell
awanawan的博客
09-23 1063
绕过addslashes并写入文件配置getshellis_numeric函数 写入配置getshell与addslashes绕过: <?php $str = addslashes($_GET['option']); $file = file_get_contents('xxxxx/option.php'); $file = preg_replace('|\$option=\'.*\';|'...
几个有用的php字符串过滤,转换函数代码
12-19
PHP编程中,字符串处理是常见的任务之一,包括过滤、转换和操作字符串。这里我们将深入探讨标题和描述中提到的一些重要函数,以及一些其他相关的PHP字符串处理函数。 1. **nl2br()**: 这个函数用于将字符串中的换...
PHP中字符安全过滤函数使用小结
10-24
PHP语言中,为了防范这些安全威胁,内置了一系列的字符安全过滤函数。下面将详细解释这些函数的功能、用法和重要性。 首先,提到字符安全过滤,我们不得不提的是`mysql_real_escape_string()`函数。该函数曾广泛...
php addslashes 利用递归实现使用反斜线引用字符串
12-19
PHP编程语言中,`addslashes()` 函数是一个非常实用的字符串处理函数,它用于在字符串中的特定字符前添加反斜杠(\),以便在数据库查询、JSON编码或需要转义特殊字符的场景中使用。这些特殊字符包括单引号(')、...
关于PHP内置的字符串处理函数详解
10-20
stripslashes()和addslashes()函数用于处理字符串中的反斜杠;strip_tags()函数可以去除字符串中的HTML和PHP标签。 为了演示以上字符串处理函数,文中的示例展示了如何使用这些函数来处理各种字符串任务。例如,...
php过滤字符串addslashes函数
yn2010
05-23 462
为了数据安全,防止注入需要过滤$_GET获得的字符串,一开始我还自已写过滤函数,后来看到php自带的一个过滤函数,所以把addslashes推荐给大家。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\'reilly。这样可以将数据放入数据库中,而不会插入额...
phpaddslashes函数与sql防注入
12-18
本文实例讲述了phpaddslashes函数与sql防注入。分享给大家供大家参考。具体分析如下: addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数’a..z’界定所有大小写字母均被转义,代码如下: 复制代码 代码如下:echo addcslashes(‘foo[ ]’,’a..z’); //输出:foo[ ] $str=”is your name o’reilly?”; //定义字符串,其中包括需要转义的字符 echo addslashes($str);  //输出经过转义的字符串 定义和用法:addslashes(
小技巧|addslashes绕过
weixin_30906425的博客
11-26 1539
1:字符编码问题导致绕过 1.1、设置数据库字符为gbk导致宽字节注入 1.2、使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入 2:编码解码导致的绕过 2.1、url解码导致绕过addslashes 2.2、base64解码导致绕过addslashes 2.3、json编码导致绕过addslashes 3:一些特殊情况导致的绕过 ...
PHP应避免使用addslashes()的情况
07-02 155
[i=s] 本帖最后由 jieforest 于 2012-7-2 10:49 编辑 [size=10.5pt]When peer reviewing PHP code, I often find dangero...
php addslashes() 函数
程序员哆啦A梦,蓝胖子
05-02 1005
实例 在每个双引号(")前添加反斜杠: <?php $str = addslashes('ggg is the "dada" city in China.'); echo($str); ?> addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 单引号(’) 双引号(") 反斜杠(\) NULL 可用于为存储在数据库中的字符串以及数据库查询语句准备字符串 GET、P...
php函数禁用绕过的原理与利用
蚁景网安学院
12-25 770
是否遇到过费劲九牛二虎之力拿了webshell却发现连个scandir都执行不了?拿了webshell确实是一件很欢乐的事情,但有时候却仅仅只是一个小阶段的结束;本文将会以webshell作为起点从头到尾来归纳bypass disable function的各种姿势。
sql注入绕过addslashes函数-宽字节注入
G208_522的博客
03-15 4670
宽字节注入 宽字节注入要求: 1、数据库的编码为GBK 2、addslashes()函数,检测在单引号前加\ addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) NULL 一、单引号探测 http://localhost:8899/sqli-lab/Less-33/index.php?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为G
QTableModel的setfilter()函数不能过滤中文和字符串的原因
zd394071264的专栏
04-18 4882
举个例子: this->device_model->setFilter(tr("Manufactuer=%1").arg(Manufacturers)); 其中Manufactuer是生产厂家的信息。是中文。Manufactuer为QString变量。而如果用上式查询的话,就会出现错误,因为在数据库查询语句中只有int才可以不用‘***’,其他都要用A=‘***’的形式。所以更改一下:this
php中htmlspecialchars()函数addslashes()函数的使用和区别
weixin_30651273的博客
02-13 496
在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
PHPaddslashes 函数详解
铁柱的博客
01-19 4862
一、前言 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;博主在接受新代码的时候,发现代码中频繁使用addslashes 这个函数,说实话,博主在之前还真没怎么用过这个函数,所以这里总结一下它的大致用法。这类安全性的函数某种意义上也代表了咱们的水平吧,能考虑到这点,并且会用就可以。 二、函数的解释 1、概念 概念请参考该博客:https://
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值