mysql addslashes()函数_PHP addslashes 函数

最新推荐文章于 2023-12-14 13:14:48 发布
最新推荐文章于 2023-12-14 13:14:48 发布
阅读量344 收藏 1
点赞数
文章标签: mysql addslashes()函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39906192/article/details/113258256
版权

一、函数功能:

数据库查询语句的要求,在单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符) 等特殊字符前添加反斜杠。它是stripslashes()函数的反向操作函数。

二、函数语法:string addslashes($str)

三、函数参数:参数描述

$str要为特殊字符添加反斜杠的元素字符串。

四、返回值:返回添加反斜杠完成的字符串。

五、用法举例:

1、基本用法:<?php

# 爱E族:aiezu.com

echo addslashes("it's\n");

echo addslashes('abc"def\123');输出:it\'s

abc\"def\\123

2、给Sql查询参数添加反斜杠:<?php

# 爱E族:aiezu.com

#未使用addslashes函数添加反斜杠的SQL语句

$title = "it's";

$sql = "select * from Table where title='{$title}'";

echo '$sql值为: ' . $sql;

echo "\n\n";

#使用addslashes函数添加反斜杠的SQL语句:

$title = addslashes("it's");

$sql = "select * from Table where title='{$title}'";

echo '$sql值为: ' . $sql;输出:$sql值为: select * from Table where title='it's'

$sql值为: select * from Table where title='it\'s'注:上面一条SQL语句由于"it's"的单引号导致SQL中的title查询值闭合单引号提前闭合,而导致如下错误:

PHP Fatal error:  Uncaught exception 'Exception' with message 'MySQL Query Error : You have an error in your SQL syntax; check the manual that corresponds to your Mysql server version for the right syntax to use near 's'' at line 1
SQL:select * from Table where title='it's'' in /tmp/mysql.php:148

3、对数组元素使用addslashes:<?php

# 爱E族:aiezu.com

function array_addslashes( $array ){

if(is_array($array) ){

foreach($array as $key=>&$value){

$value=array_addslashes($value);

}

return $array;

}else{

return addslashes($array);

}

}

$arr = array(

'aa'=>"O'Reilly"

,'ab'=>array(

'ba'=>"It's"

,'bb'=>"Is't a book?"

)

);

$arr = array_addslashes($arr);

print_r($arr);输出:Array

(

[aa] => O\'Reilly

[ab] => Array

(

[ba] => It\'s

[bb] => Is\'t a book?

)

)

4、对浏览器发送到http服务器的数据进行addslashes转义:

当php.ini配置文件中magic_quotes_gpc配置项值为On时,浏览器发送到服务器的数据($_POST, $_GET, $_COOKUE)会自动进行addslashes转义,无需再次进行addslashes转义(PHP 5.4 之前 magic_quotes_gpc 默认是 On)。我们可以通过get_magic_quotes_gpc函数检测magic_quotes_gpc配置项值是否为On:<?php

# 爱E族:aiezu.com

function array_addslashes( $array ){

if(is_array($array) ){

foreach($array as $key=>&$value){

$value=array_addslashes($value);

}

return $array;

}else{

return addslashes($array);

}

}

if ( ! get_magic_quotes_gpc() ) {

$_POST = array_addslashes($_POST);

$_GET = array_addslashes($_GET);

$_COOKIE= array_addslashes($_COOKIE);

}

weixin_39906192
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP函数addslashesmysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashesmysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
mysql addslashes()函数_addslashes()函数绕过
weixin_35965051的博客
01-19 1576
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
mysql 绕过addslashes_代码审计之绕过addslashes总结
weixin_31109967的博客
01-19 1105
if(is_null($_REQUEST['username']) || is_null($_REQUEST['password'])){die();}$link=mysql_connect("localhost","root","root");mysql_query("SET NAMES 'gbk'");mysql_select_db("test",$link);$username=$_REQU...
addslashes()与mysql_real_escape_string()在sql注入中的应用
weixin_43803070的博客
05-07 1025
0x01: addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) 提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。Addslashes()函数我们可以利用%df 进行绕过。(即所谓的宽字节注入) 使用 addslashes(),我们需要将 mysql_query 设置为 binary 的方式,才能防...
PHPaddslashes 函数详解
铁柱的博客
01-19 4726
一、前言 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;博主在接受新代码的时候,发现代码中频繁使用addslashes 这个函数,说实话,博主在之前还真没怎么用过这个函数,所以这里总结一下它的大致用法。这类安全性的函数某种意义上也代表了咱们的水平吧,能考虑到这点,并且会用就可以。 二、函数的解释 1、概念 概念请参考该博客:https://
mysql插入数据时用到的转义函数addslashes()
liuyecao6的专栏
04-30 2309
在往数据库里插入数据时,原来不知道有这个函数,很傻的用了一连串的str_replace(); 一次过滤内容中的特殊的字符,还有些朋友说可以用mysql_real_escape_string()这个函数,现在也不明白两个函数究竟有什么区别,也希望知道的朋友能够指正! string addslashes ( string str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符
php addslashesmysql_real_escape_string
10-29
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。
php addslashes 数组,PHP函数漏洞审计之addslashes函数-
weixin_34508682的博客
03-27 617
函数定义addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。(PHP 4, PHP 5, PHP 7)预定义字符是:单引号(’)双引号(”)反斜杠(\)NULL提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 adds...
addslashes()函数
最新发布
qq_61988806的博客
12-14 451
它通常用于准备字符串,以防止其中的字符被误解为具有特殊含义的字符。这个函数的主要用途是在构建 SQL 查询语句或其他需要转义特殊字符的上下文中,以防范一些安全问题,比如 SQL 注入。根据上面当id=\\0,传递后为\0通过addslashes()函数变成\\0。这里我们发现通过str_replace对\\0 %00 \' ' 替换为空。这里会匹配\0替换为空最后的值为\在语句中就是\'转义了'我们的值为\\0,但是真正赋值为\0(第一个\为转义符)str_replace()中表示匹配\0(第一个为转义)
addslashes()
MengJing_的博客
04-17 3302
php 深入理解addslashes函数 php addslashes函数对于很多人来说并不陌生,但很大部分人只是了解皮毛,只知道addslashes函数是在特定字符前面加上反斜杠,本文章将带大家深入理解php addslashes函数的使用方法。 phpaddslashes函数的作用是在预定义的字符前面加上反斜杠,这些预定义字符包括: 单引号(') 双引号...
php addslashes 数组,php addslashes处理$_POST $_GET数组函数
weixin_32820131的博客
03-27 89
php addslashes处理$_POST $_GET数组函数这是我的一个相当于自动版本的功能,用于处理$ _POST数组有用function add_slashes ($an_array) {foreach ($an_array as $key => $value) {$new_array[$key] = addslashes($an_array[$key]);}}?>then c...
mysql addslashes_mysql 转义字符和php addslashes
weixin_42392425的博客
01-19 902
遇到一个很奇怪的问题,json数据中含有中文:"mail":{"title":"\u6218\u529b\u8fbe\u4eba\u6d3b\u52a8\u5956\u52b1\u53d1\u653e","content":"\u606d\u559c\u60a8\u5728\u5408\u670d\u540e\uff0c\u60a8\u96c4\u9738\u6218\u529b\u699c\u7...
mysql 绕过addslashes_PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
weixin_33978722的博客
02-18 298
该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过 addslashes() 转换后变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理,结果漏洞就触发了。mysql_real_escape_string() 也存在相同的问题,只不过相比 addslashes() ...
mysql 绕过addslashes_代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_34236986的博客
02-07 656
原标题:代码审计Day13 - 特定场合下addslashes函数的绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
mysql数据库中插入数据时转义函数addslashes()
weixin_34248487的博客
03-16 591
在往数据库里插入数据时,原来不知道有这个函数,很傻的用了一连串的str_replace();一次过滤内容中的特殊的字符,还有些朋友说可以用mysql_real_escape_string()这个函数,现在也不明白两个函数究竟有什么区别,也希望知道的朋友能够指正! string addslashes ( string str ) 返回字符串,该字符串为了数据库查询语...
addslashesmysql_real_escape_string
梦想摆渡的专栏
12-03 1609
1.addslashes 说明 ¶ string addslashes ( string $str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O'reilly 插入
mysql addslashes_PHP函数addslashesmysql_real_escape_string的区别
weixin_30324561的博客
01-19 89
首先:不要使用mysql_escape_string,它已被弃用,请使用mysql_real_escape_string代替它。mysql_real_escape_string和addslashes的区别在于:区别一:addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个包含字节编码之外的其他编码的字符串,它会很愉快地把所有值为字符‘、“、\和\x00的字...
php mysql addslashes_addslashes()用途与php怎样防止mysql注入?
weixin_33836042的博客
01-28 217
1.表单数据显示的是表单的数据2.php的抓取的表单数据已经自动加了\3.mysql数据 (最下面一行)写到mysql中居然没有4.怀疑是被mysql软件隐藏掉了,进命令行看看:也没有看到\按照官方的说法http://www.php.net/manual/zh/function.addslashes.php一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O’...
PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
kendyhj9999的专栏
03-26 6815
在上次活动开发过程中,有个程序写了下面这样的语句: http://blog.csdn.net/zhuizhuziwo/article/details/8525789 [php] view plaincopy $sName = $_GET['name'];   $sName = addslashes($sName);   $sql = "SELE
php加上转义字符函数
04-02
PHP 中,可以使用 addslashes() 函数来为字符串中的特殊字符添加转义符,以防止 SQL 注入等安全问题。例如: ``` $str = "I'm a PHP developer."; $str = addslashes($str); echo $str; // 输出:I\'m a PHP developer. ``` 注意,addslashes() 函数只为以下字符添加转义符: - 单引号(') - 双引号(") - 反斜线(\) - NULL(\0) 如果需要为其他特殊字符添加转义符,可以使用 addslashes() 的替代函数,例如 mysqli_real_escape_string() 或 PDO::quote()。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值