mysql_real_escape_string 报错_PHP mysql_real_escape_string的一处注意

最新推荐文章于 2021-03-17 05:39:54 发布
最新推荐文章于 2021-03-17 05:39:54 发布
阅读量384 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34593927/article/details/113942106
版权

SQL注入 mysql_real_escape_string 数据库安全 字符串转义 预防攻击
关键词由CSDN通过智能技术生成

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

x00

n

r

'

"

x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

用法为mysql_real_escape_string(string,connection)

参数string,必需。规定要转义的字符串。

参数connection,可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于 mysql_query()。使用本函数来预防数据库攻击。

mysql_real_escape_string()的简单使用

SQL被注入的情况(没有使用mysql_real_escape_string())

数据库攻击。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么:

那么 SQL 查询会成为这样:

SELECT * FROM users

WHERE user='john' AND password='' OR ''=''

这意味着任何用户无需输入合法的密码即可登陆。

预防数据库攻击的正确做法:

一些经验

mysql_escape_string()也起到差不多的效果。关于这两个函数,记得我在用mysql_real_escape_string() 这个函数时,程序总是出错,不知道错误的原因,后来换成mysql_escape_string() 这个函数时,就可以了。查找手册,发现在用mysql_real_escape_string() 时,必须要先建立数据库连接,否则则报错 -___-|||

mysql_real_escape_string() calls MySQL's library function mysql_escape_string, which prepends backslashes to the following characters: NULL, x00, n, r, , ', " and x1a

mysql_escape_string() does not escape % and _.

This function is identical to mysql_real_escape_string() except that mysql_real_escape_string() takes a connection handler and escapes the string according to the current character set. mysql_escape_string() does not take a connection argument and does not respect the current charset setting.

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

春秋读书读春秋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
PHP mysql_real_escape_string() 函数
03-20 974
PHP mysql_real_escape_string() 函数PHP MySQL 函数定义和用法mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:/x00/n/r/"/x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 187
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
【转】MySql数据库--mysql_real_escape_string()函数
weixin_30521649的博客
07-03 247
MySql数据库--mysql_real_escape_string()函数 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 注意mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字符集。 描述 该...
php mysql addslashes_PHP函数 mysql_real_escape_string 与 addslashes 的区别
weixin_33304092的博客
01-19 199
addslashes和mysql_real_escape_string都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢?首先,我们还是从PHP手册入手:手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到,只是说了一句:注意mysql_...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
php mysql_real_escape_string、addslashes函数以及mysql绑定参数是PHP开发中常用的防止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数是PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
php mysql_real_escape_string函数用法与实例教程
10-26
phpmysql_real_escape_string函数是一个用于转义SQL查询中字符串特殊字符的函数,目的是为了防止SQL注入攻击。在Web开发中,通过用户输入构造SQL查询是非常常见的情况,然而恶意用户可能通过输入特殊格式的数据,...
mysql_escape_string()函数用法分析
10-22
然而,值得注意的是,`mysql_escape_string()`在PHP 5.3版本后已被废弃,不再推荐使用,而是建议使用更安全的`mysqli_real_escape_string()`或者使用参数绑定的方法,如PDO。 `mysql_escape_string()`函数的基本...
MySql数据库--mysql_real_escape_string()函数
日积月累
12-17 5548
MySql数据库--mysql_real_escape_string()函数 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 注意mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字
php mysql_real_escape_string() 函数
苦艾文艺
10-05 540
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ’ ” \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
mysql real java_PHP中的mysql_real_escape_string函数
weixin_33573700的博客
02-07 108
根据你的使用目的我觉得这个函数有两方面的用途:防止SQL Injection攻击,也就是你必须验证用户的输入操作数据的时候避免不必要的字符导致错误mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:\x00\n\r\'"\x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。攻击的例子[1]例子 1$con =...
mysql_real_escape_string总是返回false
liangzhi的博客
02-05 2426
总所周知,mysql_real_escape_string函数的作用是:转义SQL语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。并且mysql_real_escape_string()并不转义%和_。 但是,如果按照手册的例子来写代码,总是返回一个False。这是因为mysql_real_escape_string()需要连接上数据库。 所以,如果想要使用mysql_real_
使用mysql_real_escape_string报错处理
whxblue的专栏
02-25 3960
使用mysql_real_escape_string方法时,第二参数为指定数据源 如果不填,当有多个数据源存在时,php不确定使用的数据源就会以默认用户去链接,如:   情况是Yii框架中有自带的数据源Yii::app()->db 同时项目又使用了class_mysql.php作为第二数据源导致 解决办法,统一使用: mysql_escape_string 搞定。。。
mysql_real_escape_string
王文路
08-27 449
mysql_real_escape_string 主要是为了 数据库防注入、以及语句正确性等需要,将读写语句中的字符进行了转换; 但最终写入到数据库中的内容,依旧是你转义前的;所以当你读出来的时候,依旧是原来转义前的内容; 比如,你要在数据库中插入字符串 aaaa"aaaa 但如果写成insert into table values("aaaa"aaaa"); 语句就出错了,使用mysql_r
mysql_real_escape_string()函数
weixin_33725515的博客
03-18 382
mysql_real_escape_string()函数 mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下: string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] ) 在上...
mysql real escape,mysql_real_escape_string()函数
weixin_26870929的博客
03-17 1202
mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )在上述语法中涉及到的参数说明如下。unescaped_...
mysql_real_escape_string()_mysql_real_escape_string() | 学步园
weixin_33642922的博客
02-27 276
19.7.3.53.mysql_real_escape_string()unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length)Note that mysql must be a valid, open connection. This is nee...
mysql_real_escape_stringmysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 和 `mysqli_real_escape_string` 都是用于防止 SQL 注入的函数,但是它们有一些区别。 `mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值