php mssql 函数,用PHP函数解决SQL injection

最新推荐文章于 2021-07-12 09:49:56 发布
最新推荐文章于 2021-07-12 09:49:56 发布
阅读量75 收藏
点赞数
文章标签: php mssql 函数

用PHP函数解决SQL injection

SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。

如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(\),由于表单提交的内容可能含有敏感字符,如单引号('),就导致了SQL injection的漏洞。在这种情况下,我们可以用addslashes()来解决问题,它会自动在敏感字符前添加反斜杠。

但是,上面的方法只适用于magic_quotes_gpc=Off的情况。作为一个开发者,你不知道每个用户的magic_quotes_gpc是On还是Off,如果把全部的数据都用上addslashes(),那不是“滥杀无辜”了?假如magic_quotes_gpc=On,并且又用了addslashes()函数,那让我们来看看:

//如果从表单提交一个变量$_POST['message'],内容为 Tom's book

//这此加入连接MySQL数据库的代码,自己写吧

//在$_POST['message']的敏感字符前加上反斜杠

$_POST['message'] = addslashes($_POST['message']);

//由于magic_quotes_gpc=On,所以又一次在敏感字符前加反斜杠

$sql = "INSERT INTO msg_table VALUE('$_POST[message]');";

//发送请求,把内容保存到数据库内

$query = mysql_query($sql);

//如果你再从数据库内提取这个记录并输出,就会看到 Tom\'s book

?>

这样的话,在magic_quotes_gpc=On的环境里,所有输入的单引号(')都会变成(\')……

其实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=On时,该函数返回TRUE;当magic_quotes_gpc=Off时,返回FALSE。至此,肯定已经有不少人意识到:问题已经解决。请看代码:

//如果magic_quotes_gpc=Off,那就为提单提交的$_POST['message']里的敏感字符加反斜杠

//magic_quotes_gpc=On的情况下,则不加

if (!get_magic_quotes_gpc()) {

$_POST['message'] = addslashes($_POST['message']);

} else {}

?>

其实说到这里,问题已经解决。下面再说一个小技巧。

有时表单提交的变量不止一个,可能有十几个,几十个。那么一次一次地复制/粘帖addslashes(),是否麻烦了一点?由于从表单或URL获取的数据都是以数组形式出现的,如$_POST、$_GET)那就自定义一个可以“横扫千军”的函数:

function quotes($content)

{

//如果magic_quotes_gpc=Off,那么就开始处理

if (!get_magic_quotes_gpc()) {

//判断$content是否为数组

if (is_array($content)) {

//如果$content是数组,那么就处理它的每一个单无

foreach ($content as $key=>$value) {

$content[$key] = addslashes($value);

}

} else {

//如果$content不是数组,那么就仅处理一次

addslashes($content);

}

} else {

//如果magic_quotes_gpc=On,那么就不处理

}

//返回$content

return $content;

}

?>

这个应该还是有问题的吧,因为$_GET里面的数组的元素也还可能

是数组,所以还是要递归调用,这个vbb中有个function.php里面这

个函数用得比较全面

function quotes($content){

if (!get_magic_quotes_gpc()) {

if(is_array($content)) {

foreach ($content as $key=>$value){

$content[$key] = quotes($value);

}

} else{

addslashes($content);

}

}

return$content;

}

function unquotes($content){

if(get_magic_quotes_gpc()) {

if (is_array($content)) {

foreach($content as $key=>$value) {

$content[$key] =unquotes($value);

}

} else{

stripslashes($content);

}

}

return$content;

}

千层猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mssql扩展SQL查询中文字段名解决方法
12-18
问题就出现在SQLServer中表的字段名是中文,写好的查询语句在SQLServe里测试是通过有记录返回,用PHP的MSSQL扩展查询就是报错。 上网查了资料,网上相关的信息不太多,很多网友都认为是PHP的MSSQL扩展不支持SQL
php常用的mysql函数_PHP中的MYSQL常用函数(php下操作数据库必备)
weixin_39748445的博客
02-28 349
1、mysql_connect()-建立数据库连接格式:resource mysql_connect([string hostname [:port] [:/path/to/socket] [, string username] [, string password]])例:$conn = @mysql_connect("localhost", "username", "password") or...
php mssql 中文函数
DV.申
07-12 140
Sql Server 常用函数
yyixin的专栏
06-19 517
Sql Server 常用函数 发布日期:2005-8-1 3:43:34   作者:   出处:  1,统计函数 avg, count, max, min, sum  多数聚会不统计值为null的行。可以与distinct一起使用去掉重复的行。可以与group by 来分组  2, 数学函数  SQRT  ceiling(n) 返回大于或者等于n的最小整数  fl
留言本代码下载php,PHP_简单的PHP留言本实例代码,config.php 复制代码 代码如下: &l - phpStudy...
weixin_42543309的博客
03-27 57
简单的PHP留言本实例代码config.php复制代码 代码如下:$conn = @mysql_connect("localhost","root","") or die("数据库连接出错!");mysql_select_db("gb",$conn);mysql_query("set names 'GBK'");?>add.php复制代码 代码如下:include("config.php")...
php mssql 数据库分页SQL语句
12-18
根据自己使用过的内容,把常见数据库Sql Server,Oracle和MySQL的分页语句,从数据库表中的第M条数据开始取N条记录的语句总结如下: SQL Server 从数据库表中的第M条记录开始取N条记录,利用Top关键字:注意如果...
php mssql 分页SQL语句优化 持续影响
10-29
经过SQL优化后的分面查询速度能够得到大幅提高。
php将访客留言写入数据库,将网页中的留言写进数据库(实战)
weixin_39758618的博客
03-10 414
第一次接触编程的小伙伴需要先了解我们前几篇的内容header("Content-type: text/html; charset=utf-8"); //如果浏览器输出乱码就加上这一句//加载类include('input.php');//获得数据$content = $_POST['content'];$user = $_POST['user'];//实例化类$input = new input(...
PHP 调用MSSQL存储过程
隼之
12-19 1503
存储过程如下:CREATE PROCEDURE test  @TableName char(20),  @ii char(20) output,  @bb char(20) outputASset nocount on/*if exists (select 1 from demo_table where t_name=@TableName)  set @ii = yeselse   begin
php mysql mssql_php连接MSsql server的五种方法总结
weixin_32019329的博客
01-20 187
参考php手册,对php连接sql server系列做出个小结。主要有五种方式:一、通过mssql_系列函数mssql_系列函数主要针对php5.3以下的版本和sqlserver2000及以上版本使用。在php.ini中将;extension=php_mssql.dll;extension=php_msql.dll;extension=php_pdo_mssql.dll ;extension=ph...
php调用SQL SERVER 2008及以上版本的方法
IT人生
08-05 6376
php 5.3.27 访问 Sql2008 和 sql 2005    今天遇到php连接mssql问题,按照网上各种尝试,最后成功,再此记录下。由于 php 5.3以后就不支持mssql。要下载相应的The SQL Server Driver for PHP。现在微软官网有两个安装包:SQLSRV20.exe 和 SQLSRV30.exe 用于 SQL Server Driv
php连接mssql数据库的几种方式
weixin_30577801的博客
02-21 138
数据库查询不外乎4个步骤,1、建立连接。2、输入查询代码。3、建立查询并取出数据。4、关闭连接。 php连接mssql数据库有几个注意事项,尤其mssql的多个版本、32位、64位都有区别。 首先,php.ini文件中;extension=php_pdo_mssql.dll ;extension=php_pdo_odbc.dll 前面的分号去掉,对应的使哪种方式连接mssql。注意要重启服务使...
grpcio-1.14.0-cp36-cp36m-macosx_10_7_intel.whl
最新发布
06-06
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
哈尔滨工程大学825经济学2020考研专业课初试大纲.pdf
06-06
哈尔滨工程大学考研初试大纲
hack-10万密码.txt
06-06
hack-10万密码
ASP“辅导员之家”网站设计与开发(源代码+论文)【ASP】.zip
06-06
ASP“辅导员之家”网站设计与开发(源代码+论文)【ASP】
大作业基于python+tkinter学生成绩管理系统带登录界面完整源代码.zip
06-06
学生成绩管理系统 一个简单的学生课程系统,可以创建学生,课程,成绩,以及计算最高对分。 代码流程: (1)通过创建一个CSV文件对学生信息进行存储 (2)通过对CSV文件的访问对数据进行修改和读取 (3)通过TKINTER做出界面与代码进行对接 (4)通过Pandas和numpy对数据进行分析、归类 (5)通过Matplotlib对已处理的数据进行可视化处理并与界面对接。 需求分析: (1)创建一个登陆界面,并拥有管理员权限进行数据访问。 (2)通过创建一个ENTRY读取交互界面的数据。 (3)创建一个学生类,包含学号,姓名,性别,对信息进行存取。 (4)创建一个学生信息删除类,对学生信息的删除。 (5)创建一个学生课程成绩类,包含学生类成员和课程类数组成员,并对成绩进行修改。 (6)可以生成学生,并且为学生创建课程成绩。 (7)输出指定科目分数最高和最低的学生课程成绩信息。 (8)输出指定学生的科目分数最高和最低分。 (9)对整体单科成绩的一个可视化分析。
基于python的模板数字识别程序
06-06
基于python的模板数字识别程序
mssql 窗口函数
09-14
在MSSQL中,窗口函数是一种高级功能,它允许在查询结果集的特定分区上执行聚合、排序和分析操作。它们可以与PARTITION BY子句一起使用,以指定分区规则。窗口函数在SELECT语句的SELECT列表、ORDER BY子句和HAVING...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值