php数据库安全字符,php mysql_real_escape_string构建安全的SQL语句

最新推荐文章于 2021-09-08 19:06:23 发布
最新推荐文章于 2021-09-08 19:06:23 发布
阅读量185 收藏
点赞数
文章标签: php数据库安全字符

mysql_real_escape_string介绍

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

mysql_real_escape_string 优于addslashes。因为 mysql_real_escape_string考虑到字符集的问题因此可以安全用于 mysql_query()。另外需要注意的是mysql_real_escape_string()不能转义%及_,只能转义一下字符:

\x00

\n

\r

\

'

"

\x1a

注意:有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用。

mysql_real_escape_string语法及参数

语法:

mysql_real_escape_string(sql_str,con)

参数:

参数

描述

sql_str

必需。需要转义的SQL语句

con

可选。mysql连接标识符,如果没有设置该参数,则直接使用上一个mysql连接标识符

mysql_real_escape_string构建安全的SQL语句

本实例介绍了使用mysql_real_escape_string函数处理表单提交过来的数据,从而构建一个安全的SQL语句,避免了SQL注入攻击。

function opendatabase ($host,$user,$pass) {

try {

if ($db = mysql_connect ($host,$user,$pass)){

return $db;

} else {

throw new exception ("Sorry, could not connect to mysql.");

}

} catch (exception $e) {

echo $e->getmessage ();

}

}

/* http://www.manongjc.com/article/1241.html */

function selectdb ($whichdb, $db){

try {

if (!mysql_select_db ($whichdb,$db)){

throw new exception ("Sorry, database could not be opened.");

}

} catch (exception $e) {

echo $e->getmessage();

}

}

function closedatabase ($db){

mysql_close ($db);

}

$db = opendatabase ("localhost","root","");

selectdb ("mydatabase",$db);

$_POST['user'] = "myname";

$_POST['pass'] = "mypassword";

function validatelogin ($user,$pass){

mysql_real_escape_string ($user);

mysql_real_escape_string ($pass);

$thequery = "SELECT * FROM userlogin WHERE username='$user' AND password='$pass'";

if ($aquery = mysql_query ($thequery)){

if (mysql_num_rows ($aquery) > 0){

return true;

} else {

return false;

}

} else {

echo mysql_error();

}

}

if (validatelogin ($_POST['user'],$_POST['pass'])){

echo "You have successfully logged in.";

} else {

echo "Sorry, you have an incorrect username and/or password.";

}

closedatabase ($db);

?>

mysql_real_escape_string()函数在本实例的主要作用:

防止SQL Injection攻击,也就是你必须验证用户的输入

操作数据的时候避免不必要的字符导致错误

苹果岛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
8个很有用的PHP安全函数,你知道几个?
淡忘~浅思
11-16 1336
原文:Useful functions to provide secure PHP application 译文:有用的PHP安全函数 译者:dwqs 安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。 在PHP中,有些
php7 mysqli调用real_escape_string
QingtaiSensei的博客
02-29 1583
为了防止SQL注入,我们会把用户提交的数据进行转义过滤。 有两种方法在php7中都可以用, 面向过程风格这样写, $link = mysqli_connect('localhost','www','123456','test'); mysqli_real_escape_string($connection,$escapeStr); 用类的方法来写的话, function escape($esca...
PHP防MYSQL注入及转义存在潜在威胁的字符串插件.rar
07-14
PHP防MYSQL注入及转义存在潜在威胁的字符串插件介绍: 1.插件作用: 本插件对用户提交的信息进行过滤可以防止数据库注入,及转义用户可能提交的会被执行的脚本代码使之转为字符串,从而保证了网页的正常显示和数据库数据的安全。   2.插件说明: 阻止任何可能攻击服务器的意图,或者防止插入一些不需要的MySql命令、HTML语句或者Javascript脚本。 插件的两个个方法接受一个字符串,对它进行"过滤"处理后,就可以用在自己的网站上或MySql数据库里。 他们都需要一个参数: $string 一个需要"过滤"处理的字符串。   3.包含SanitizeString.class.php类文件,实例化,用得到的对象根据需求分别调用PIPHP_SanitizeString方法或者PIPHP_MySQLSanitizeString,前者为将可能会被执行的如js代码转义为普通字符串,后者为数据库防注入过滤。
php mysql字符串过滤_PHP语言之PHP字符串过滤需要的函数,安全MYSQL
weixin_35705784的博客
02-28 113
本文主要向大家介绍了PHP语言之PHP字符串过滤需要的函数,安全MYSQL,通过具体的内容向大家展示,希望对大家学习php语言有所帮助。htmlspecialchars将特殊字符转成HTML格式。语法:stringhtmlspecialchars(stringstring);返回值:字符串函数种类:资料处理内容说明本函数将特殊字符转成HTML的字符串格式(&....;...
php mysql_real_php mysql_real_escape_string函数用法与实例教程
weixin_35927281的博客
02-28 220
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符转义特殊字符在unescaped_string,考虑到当前字符的连接设置,以便它在的地方是安全的在mysql_query()它。如果二进制数据要插入,这个函数必须被使用下列字符受影响:如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法mysql_real_escape_str...
php mysql_real_escape_string函数用法与实例教程
10-26
mysql_real_escape_string() 函数用来转义SQL语句中使用的字符串中的特殊字符
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击 php防止SQL注入攻击...mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 在有些时候需要将mysql_real_escape_stri
php addslashes和mysql_real_escape_string
12-17
`mysql_real_escape_string()` 函数则更为安全,它不仅考虑了字符串中的特殊字符,还考虑到了当前数据库连接的字符集。这意味着它能够正确地处理多字节字符,从而更有效地防止SQL注入。这个函数是在PHP 4.3.0及更高...
mysql_escape_string()函数用法分析
10-22
MySQL中的`mysql_escape_string()`函数是用来处理SQL查询中可能存在的特殊字符,以防止SQL注入攻击。这个函数在PHP中被广泛使用,特别是在处理用户输入的数据时,用来转义那些可能会改变查询语句含义的字符。然而,...
mysql_real_escape_string和mysql_escape_string有什么本质的区别,有什么用处,为什么被弃用?
joshua317的博客
09-08 2887
本文为joshua317原创文章,转载请注明:转载自joshua317博客https://www.joshua317.com/article/48 mysql_real_escape_string和mysql_escape_string有什么本质的区别,有什么用处,为什么被弃用? 1.官方说明: 1.1 mysql_real_escape_string (PHP 4 >= 4.3.0, PHP 5) mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的.
预防sql注入安全的函数
03-14 1427
<br />预防sql注入安全的函数<br /><br />定义和用法<br />mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。<br />下列字符受影响:<br />/x00 <br />/n <br />/r <br />/ <br />' <br />" <br />/x1a <br />如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。<br />语法<br />mysql_real_escape_string(string
php中mysqli_real_escape_string()函数
05-08 9167
php连接mysql数据库后,在对数据库进行查询或插入操作时,为了防止恶意访问,通常对输入的字符串进行转义。 前一章介绍了mysql与mysqli的区别,如果采用mysql库连接数据库,转义函数有两个 mysql_real_escape_string(string,connection);//第一个参数为需转义字符串,第二个参数为数据库连接。 mysql_escape_string(stri
MySQL中如何插入blob类型数据
热门推荐
fibbery学习笔记
12-25 1万+
等具体研究完写篇完整的,现在只是作为一个标记,以免忘记mysql_real_escape_string函数。mysql_real_escape_string()unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) Note th
php函数—addslashes和mysql_real_escape_string
不一样的焰火
07-02 994
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。 很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括
PHP中防止SQL注入
今年过节不耀礼
02-28 152
sql注入主要是采用原生sql,进行字符串拼接查询时容易发生。为避免sql注入可以采用数据库的预处理功能,实现sql和参数的分离。 PDO库对此已经进行了封装,采用PDO库即可 具体使用参照http://www.php.net/manual/en/ref.pdo-mysql.php...
MYSQL mysql_real_escape_string和addslashe区别
橙色卡布奇诺
08-04 3794
mysql_real_escape_string(); addslashes();以上两个都是服务器发送的转义字符,都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢?? 从PHP手册上查看 mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。 注意: mysql_real_escape_s
mysql连接字符串加密配置,在php中加密/安全数据库连接字符
weixin_33533460的博客
02-19 142
one of the project required me to encrypt DB connection string (username & password).Usually I use .htaccess to restrict user to access from web.But this project want me to store userid & pass...
PHPSQL注入不要再用addslashes和mysql_real_escape_string
qq_36705093的博客
04-10 4414
作者:深蓝的镰刀链接:https://blog.csdn.net/hornedreaper1988/article/details/43520257著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_str...
mysql_real_escape_string与mysqli_real_escape_string
最新发布
05-29
`mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双引号等)在 SQL 语句中的含义进行转义,以避免 SQL 注入攻击。但是这个函数已经被废弃,不建议使用。 `mysqli_real_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值