addslashes和mysql_real_escape_string区别

最新推荐文章于 2024-07-24 16:18:52 发布
最新推荐文章于 2024-07-24 16:18:52 发布
阅读量651 收藏 1
点赞数
分类专栏: PHP 文章标签: string mysql php 数据库 c
 
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。
addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。
另外对于php手册中get_magic_quotes_gpc的举例:
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:
mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑.
addslashes() 是强行加;
mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;
mysql_escape_string不考虑连接的当前字符集。

xiaoxiaohai123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php函数—addslashesmysql_real_escape_string
不一样的焰火
07-02 995
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。 很好的说明了addslashesmysql_real_escape_string区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括
PHP防SQL注入不要再用addslashesmysql_real_escape_string
qq_36705093的博客
04-10 4415
作者:深蓝的镰刀链接:https://blog.csdn.net/hornedreaper1988/article/details/43520257著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_str...
addslashesmysql_real_escape_string
梦想摆渡的专栏
12-03 1618
1.addslashes 说明 ¶ string addslashes ( string $str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O'reilly 插入
mysql_real_escape_string总是返回false
liangzhi的博客
02-05 2423
总所周知,mysql_real_escape_string函数的作用是:转义SQL语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。并且mysql_real_escape_string()并不转义%和_。 但是,如果按照手册的例子来写代码,总是返回一个False。这是因为mysql_real_escape_string()需要连接上数据库。 所以,如果想要使用mysql_real_
PHP函数addslashesmysql_real_escape_string区别
10-26
主要介绍了PHP函数addslashesmysql_real_escape_string区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
php addslashesmysql_real_escape_string
12-17
总结来说,`addslashes()` 适用于简单的单字节字符串处理,而`mysql_real_escape_string()` 是处理多字节字符和确保与数据库连接兼容的首选。为了增强安全性,推荐使用`mysql_real_escape_string()`,并始终检查`get...
mysql_real_escape_stringaddslashes区别
resilient的博客
08-04 908
mysql_real_escape_string(); addslashes(); 1 2 以上两个都是服务器发送的转义字符,都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢?? 从PHP手册上查看 mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。注意: mysql_real_esca...
addslashes()与mysql_real_escape_string()在sql注入中的应用
weixin_43803070的博客
05-07 1042
0x01: addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) 提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。Addslashes()函数我们可以利用%df 进行绕过。(即所谓的宽字节注入) 使用 addslashes(),我们需要将 mysql_query 设置为 binary 的方式,才能防...
addslashesmysql_real_escape_string
dabao1989的专栏
10-15 674
addslashesmysql_real_escape_string 本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。 很好的说明了addslashesmysql_real_escape_string
(转)addslashesmysql_real_escape_string区别
jackyrongvip的专栏
07-01 1693
我们为了更深层次的探究这两个函数的不同..还是去看一看PHP的源码吧.. 这是PHPaddslashes函数.. PHP_FUNCTION(addslashes)  {      zval **str;      if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &str) == FAILURE) {         
php mysql addslashes_PHP函数 mysql_real_escape_stringaddslashes区别
weixin_33304092的博客
01-19 164
addslashesmysql_real_escape_string都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢?首先,我们还是从PHP手册入手:手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到,只是说了一句:注意:mysql_...
PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
kendyhj9999的专栏
03-26 6870
在上次活动开发过程中,有个程序写了下面这样的语句: http://blog.csdn.net/zhuizhuziwo/article/details/8525789 [php] view plaincopy $sName = $_GET['name'];   $sName = addslashes($sName);   $sql = "SELE
web小项目-曼波生日录(Servlet+JSP+MySQL)
m0_75138009的博客
07-24 932
当记录条数过多时会自动出现滚轮,数据不会超出紫框。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 2320
MySQL基线检查,基线配置,安全加固
测试环境搭建整套大数据系统(十七:mysql同步,字段类型映射错误问题)
weixin_43446246的博客
07-24 500
mysql表hive表其中 type是字符串类型,但是yarn上一直报错number这个类是往int类型转才会使用到的。
MySQL中的CREATE EVENT 语句详解
最新发布
u011565038的博客
07-24 650
CREATE EVENT语句在 MySQL 中用于创建一个事件调度器(Event Scheduler)的事件。事件调度器允许你安排数据库任务(如查询、数据更新等)在将来的某个时间点自动执行,或者根据特定的时间间隔重复执行。这对于需要定期执行的任务特别有用,比如数据清理、报表生成等。
Mysql (五)
qq_64410777的博客
07-23 578
以左边的表为基础,接收左表的所有行,以左表的记录与右表的记录进行匹配,匹配左表的所有,以及右表中符合条件的行,不符合的显示null值。表和列的别名 在实际工作中,表和列名可能很长,写起来不方便,如果需要多次声明表和列时,全部展示太复杂,设置别名使书写简化。这里只是判断,结果为空 则不执行 ,如果不为空则执行前面的 结果是7 只要不为空就是7 执行的是count(*)SELECT i.name 姓名,i.score 成绩 from info as i;
json_decode
06-02
mixed json_decode(string $json, bool $assoc = false, int $depth = 512, int $options = 0) ``` 其中,$json是要解码的JSON字符串;$assoc参数用于指定是否将返回的对象转换为关联数组,默认为false,表示返回的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值