sql转义模块php,sql注入与转义的php函数代码_php技巧

最新推荐文章于 2022-02-13 09:00:00 发布
最新推荐文章于 2022-02-13 09:00:00 发布
阅读量67 收藏
点赞数
文章标签: sql转义模块php

sql注入:

正常情况下:

delete.php?id=3;

$sql = 'delete from news where id = '.$_GET['id'];

恶意情况:

delete.php?id=3 or 1;

$sql = 'delete from news where id = 3 or 1'; -------如此执行后,所有的记录将都被删除

应该采取相关措施。。。比如用之前先判断是否是数字等等。

要使自己相信,从客户端传来的信息永远是不可靠的!!

转义:

有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义,转义成普通的字符,此时就要用到string addslashes ( string $str ),这个函数可以对某个变量进行转义。但是,如果对数组里的元素进行转义,就用foreach循环数组,如下:

foreach($_POST as $k=>$v) {

if(is_string($v)) {

$_POST[$k] = addslashes($v);

}

}

但是如果数组中还包含数组,那就要递归进行转义了,此时用到

array_walk_recursive(array &$input , callback $funcname [, mixed $userdata ])

将用户自定义函数 funcname 应用到 array 数组中的每个单元。本函数会递归到更深层的数组中去。典型情况下 funcname 接受两个参数。input 参数的值作为第一个,键名作为第二个。如果提供了可选参数 userdata,将被作为第三个参数传递给 callback funcname。成功时返回 TRUE, 或者在失败时返回 FALSE

也就是说:用自定义的函数,至少要能接收两个参数,而addslashes()只能接收一个参数所以自定义一个函数如下:

function a(&$v,$k){

$v=addslashes($v);

}

array_walk_recursive(&$arr,'a');

系统自动转义:

PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可

魔术引号被打开后,系统会自动对$_GET,$_POST,$_COOKIE数据进行转义,在不知情的情况下,再次进行手动转义的话,就转多了,要想合理的进行转义,就要首先判断,魔术符号是否已经打开了,用magic_quotes_gpc()进行判断,不需要传值,关闭返回0,关闭返回1

if(!get_magic_quotes_gpc()) { // 如果魔术引号没开

function _addslashes(&$v,$k) {

$v = addslashes($v);

}

array_walk_recursive(&$_GET,'_addslashes');

array_walk_recursive(&$_POST,'_addslashes');

array_walk_recursive(&$_COOKIE,'_addslashes');

}

相关标签:注入 转义

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

weixin_39799565
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入转义php函数代码
01-20
sql注入:   正常情况下:     delete.php?id=3;    $sql = ‘delete from news where id = ‘.$_GET[‘id’];   恶意情况:     delete.php?id=3 or 1;    $sql = ‘delete from news where id = 3 or 1’;  ——-如此执行后,所有的记录将都被删除    应该采取相关措施。。。比如用之前先判断是否是数字等等。 要使自己相信,从客户端传来的信息永远是不可靠的!! 转义:   有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义
mysql sql注入转义_sql注入转义php函数代码
weixin_30738065的博客
01-21 213
sql注入:正常情况下:delete.php?id=3;$sql = 'delete from news where id = '.$_GET['id'];恶意情况:delete.php?id=3 or 1;$sql = 'delete from news where id = 3 or 1'; -------如此执行后,所有的记录将都被删除应该采取相关措施。。。比如用之前先判断是否是数字等等。...
sql注释符注入防御_SQL注入防御绕过的一些沉淀
weixin_39620535的博客
12-20 273
一、宽字节注入1、什么是宽字节GB2312、GBK、GB18030、BIG5等这些都是常说的宽字节,实际为两字节2、宽字节注入原理防御:将 ' 转换为 \'绕过:将 \ 消灭mysql在使用GBK编码的时候,会认为两个字符为一个汉字\ 编码为 %5c' 编码为%27%df%5c mysql会认为是一个汉字构造:%df' %df\' %df%5c%27 其中%df%5c将成为一个汉字专为 ...
使用PHP转义函数:避免XSS漏洞
lcradio的专栏
02-28 1278
近期出现很多CMS出现XSS漏洞等新闻,PHP作为比较安全的网络编程语言,也变得“不那么安全”,其实,注意使用PHP中常用的转义函数、安全函数就可以过滤大部份常见的攻击手段,如SQL注入、XSS攻击等。 1. htmlentities htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的
php mysql 转义函数_php mysql 转义的方法
weixin_28761455的博客
02-08 290
php mysql转义的方法:1、利用mysql函数“mysql_escape_string”或“mysqli_real_escape_string”进行转义;2、利用转义函数“addslashes()”进行转义。本文操作环境:Windows7系统、PHP7.1、Dell G3电脑。php访问mysql数据库对字符串进行特殊字符转义转义特殊字符:单引号(')、双引号(")、反斜线(\),以便于进...
php中addslashes函数sql注入
12-18
本文实例讲述了php中addslashes函数sql注入。分享给大家供大家参考。具体分析如下: addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数’a..z’界定所有大...
PHP中常用的转义函数
10-26
主要介绍了PHP中常用的转义函数、安全函数,使用这些函数可以过滤大部份常见的攻击手段,如SQL注入,需要的朋友可以参考下
php实现处理输入转义字符的代码
12-19
先来个函数,是最近WordPress 3.6中刚刚引入的 /** * Add slashes to a string or array of strings. * * This should be used when preparing data for core API that expects slashed data. * This should ...
php注入,表单提交值转义的实现详解
12-19
在开发时,我们要注意防止sql注入,所以在对表单提交过来的值要做相应的处理,才可以把数据更新到数据库里php横扫千军函数。任何值都可以传过来转换复制代码 代码如下:function quotes($content) { //如果magic_...
python在操作mysql数据库时,sql语句的字符转义问题可采用escape_string字符转义函数来解决
雨落i的博客
02-13 6213
可以使用escape_string()函数进行特殊字符的转义处理,只需要加上from pymysql.converters import escape_string导入此函数即可。
SQL数据插入字符串时转义函数
weixin_34292959的博客
04-22 482
函数一: 1 std::string CheckString(std::string& strSource) 2 { 3 std::string strOldValue = "'"; 4 std::string strNewValue = "''"; 5 for(std::string::size_type pos(0); pos !=...
SQL中 对于某个字段的值 进行转义、替换
qq_40136233的博客
04-01 3551
decode()函数简介: 主要作用:将查询结果翻译成其他值(即以其他形式表现出来,以下举例说明); 使用方法: Select decode(columnname,值1,翻译值1,值2,翻译值2,…值n,翻译值n,缺省值) From talbename Where … 其中columnname为要选择的table中所定义的column, ·含义解释: decode(条件,值1,翻译值1,值2,翻译...
mysql数据库函数转义函数_MySql数据库-查询、插入数据时转义函数的使用
weixin_39793420的博客
02-05 429
最近在看一部php的基础视频教程,在做案例的时,当通过用户名查询用户信息的时候,先使用了转义函数对客户提交的内容进行过滤之后再交给sql语句进行后续的操作。虽然能看到转义函数本身的作用,但是仍然有一些疑惑。疑惑一:当转义数据后,数据中会增加一些反斜杠,为了能查找出对应的数据,那么原来存在数据库中的数据是不是也已经被保存成含有反斜杠的了?疑惑二:转义数据后再向数据库中插入数据,保存在数据库中的数据是...
简单的json字符串和mysql查询sql转义函数
莫语?倾城
06-30 1507
protected String jsonEscape(String val){ StringBuilder builder=new StringBuilder(); for(int i=0;i<val.length();++i){ char c=val.charAt(i); switch (val.charAt(i)){ case '\r':builder.append("\\r"...
sql转义模块php,sql注入转义php函数代码
weixin_42301816的博客
03-10 132
sql注入:正常情况下:delete.php?id=3;$sql = 'delete from news where id = '.$_GET['id'];恶意情况:delete.php?id=3 or 1;$sql = 'delete from news where id = 3 or 1'; -------如此执行后,所有的记录将都被删除应该采取相关措施。。。比如用之前先判断是否是数字等等。...
聊一聊php程序的sql注入攻击与字符转义问题
云客的技术博客【云游天下 做客四方】
03-22 4960
详细介绍了sql注入攻击与php字符转义问题
StringEscapeUtils
天道酬勤
01-16 2344
org.apache.commons.lang.StringEscapeUtils 类可以对js sql html xml等代码进行转义!用来处理前端js注入代码 SQL特殊字符转义   应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安...
注入转义
chunduo8233的博客
01-09 242
<?php // sql注入转义 /* 先下如下例子: del.php?id=3 $sql = 'delete from news where id=' . $_GET['id']; del.php?id=3 or 1; 这时 $sql = 'delete from news...
浅谈html转义及防止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义? html转义是将特殊字符或html标
360 phpsql注入代码
最新发布
02-05
3. 使用转义函数:在向数据库中插入用户输入的数据之前,应该使用转义函数对输入数据进行转义处理。可以使用PHP的mysqli_real_escape_string()函数或者PDO的quote()方法来转义用户输入的数据。 4. 使用prepared ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值