mysql_real_escape_string()详解

最新推荐文章于 2024-08-23 09:43:57 发布
最新推荐文章于 2024-08-23 09:43:57 发布
阅读量2.3k 收藏
点赞数
分类专栏: mysql

unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length)

Note that mysql must be a valid, open connection. This is needed because the escaping depends on the character set in use by the server.

Description

This function is used to create a legal SQL string that you can use in an SQL statement. See Section 9.1.1, “String Literals”.

The string in from is encoded to an escaped SQL string, taking into account the current character set of the connection. The result is placed in to and a terminating null byte is appended. Characters encoded are \, ', ", NUL (ASCII 0), \n, \r, and Control+Z. Strictly speaking, MySQL requires only that backslash and the quote character used to quote the string in the query be escaped. mysql_real_escape_string() quotes the other characters to make them easier to read in log files. For comparison, see the quoting rules for literal strings and the QUOTE() SQL function in Section 9.1.1, “String Literals”, and Section 12.5, “String Functions”.

The string pointed to by from must be length bytes long. You must allocate the to buffer to be at least length*2+1 bytes long. (In the worst case, each character may need to be encoded as using two bytes, and you need room for the terminating null byte.) When mysql_real_escape_string() returns, the contents of to is a null-terminated string. The return value is the length of the encoded string, not including the terminating null character.

If you need to change the character set of the connection, use the mysql_set_character_set() function rather than executing a SET NAMES (or SET CHARACTER SET) statement. mysql_set_character_set() works like SET NAMES but also affects the character set used by mysql_real_escape_string(), which SET NAMES does not.

Example
char query[1000],*end;

end = strmov(query,"INSERT INTO test_table values(");
*end++ = '\'';
end += mysql_real_escape_string(&mysql, end,"What is this",12);
*end++ = '\'';
*end++ = ',';
*end++ = '\'';
end += mysql_real_escape_string(&mysql, end,"binary data: \0\r\n",16);
*end++ = '\'';
*end++ = ')';

if (mysql_real_query(&mysql,query,(unsigned int) (end - query)))
{
   fprintf(stderr, "Failed to insert row, Error: %s\n",
           mysql_error(&mysql));
}

The strmov() function used in the example is included in the libmysqlclient library and works like strcpy() but returns a pointer to the terminating null of the first parameter.

Return Values

The length of the value placed into to, not including the terminating null character.

xiongping_
关注
专栏目录
c 读取mysql连接信息_C++利用MySQL API连接和操作数据库实例详解
weixin_39924584的博客
01-18 200
1.C++连接和操作MySQL的方式系列文章:在Windows平台,我们可以使用ADO、ODBC或者MySQL API进行连接和操作。ADO (ActiveX Data Objects,ActiveX数据对象)是Microsoft提出的一个用于存取数据源的COM组件。它提供了程序语言和统一数据访问方式OLE DB的一个中间层,也就是Microsoft提出的应用程序接口(API)用以实现访问关系或非...
Atitit 防注入 sql参数编码法 目录 1.2. 提升可读性pg_escape_literal — 转义文字以插入文本字段 1 1.2.1. 说明 1 1.3. 推荐pg_escape_str
attilax的专栏
12-27 370
Atitit 防注入 sql参数编码法 目录 1.2. 提升可读性pg_escape_literal—转义文字以插入文本字段 1 1.2.1. 说明 1 1.3. 推荐pg_escape_string()转义 text/char 数据类型的字符串 2 1.3.1. 说明 2 1.4. 2. mysql_real_escape_string() (推荐指数4) 2 1....
PHP mysql_real_escape_string() 函数
03-20 993
PHP mysql_real_escape_string() 函数PHP MySQL 函数定义和用法mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:/x00/n/r/"/x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法
MySql数据库--mysql_real_escape_string()函数
日积月累
12-17 5571
MySql数据库--mysql_real_escape_string()函数 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 注意,mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字
如何使用 `escape-string-regexp`:全面指南
最新发布
gitblog_00071的博客
08-23 392
如何使用 escape-string-regexp:全面指南 项目地址:https://gitcode.com/gh_mirrors/es/escape-string-regexp 项目介绍 逃逸正则表达式字符串 (escape-string-regexp) 是一个简洁的 JavaScript 库,由技术大牛 Sindresorhus 创建并维护。它提供了一个简单的方法来转义字符串中的正则表达式...
【转】MySql数据库--mysql_real_escape_string()函数
weixin_30521649的博客
07-03 267
MySql数据库--mysql_real_escape_string()函数 unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 注意,mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字符集。 描述 该...
mysql_real_escape_string
王文路
08-27 480
mysql_real_escape_string 主要是为了 数据库防注入、以及语句正确性等需要,将读写语句中的字符进行了转换; 但最终写入到数据库中的内容,依旧是你转义前的;所以当你读出来的时候,依旧是原来转义前的内容; 比如,你要在数据库中插入字符串 aaaa"aaaa 但如果写成insert into table values("aaaa"aaaa"); 语句就出错了,使用mysql_r
mysql_real_escape_string()_【转】MySql数据库--mysql_real_escape_string()函数
weixin_35625309的博客
01-19 314
unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length)注意,mysql必须是有效的开放式连接。之所以需要它是因为,转义功能取决于服务器使用的字符集。描述该函数用于创建可在SQL语句中使用的合法SQL字符串。请参见9.1.1节,“字符串”。按照连接的当...
PHP mysqli_free_result()与mysqli_fetch_array()函数详解
12-19
此外,还有其他函数如`session_set_save_handler()`用于自定义session存储方式,`addslashes()`和`mysql_real_escape_string()`的区别在于处理SQL注入的方式,以及各种PHP MySQL操作函数的组合使用,可以帮助构建更...
MySql_C 接口集合
02-27
`mysql_escape_string()` - **功能**:对SQL语句中的字符串进行特殊字符转义,防止SQL注入。 - **使用场景**:任何通过用户输入动态生成SQL语句的场合,保障数据安全。 #### 14. `mysql_fetch_field()` - **功能**...
php is_numberic函数造成的SQL注入漏洞
09-04
3. **字符串转义**:使用`mysql_real_escape_string`(尽管现在已弃用)或`mysqli_real_escape_string`对用户输入进行转义,但这仍然不是最佳做法,因为它们依赖于正确的字符集设置。 4. **使用`filter_var`**:PHP...
mysql_real_escape_string()_mysql_real_escape_string() | 学步园
weixin_33642922的博客
02-27 308
19.7.3.53.mysql_real_escape_string()unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length)Note that mysql must be a valid, open connection. This is nee...
mysql real escape,mysql_real_escape_string()函数
weixin_26870929的博客
03-17 1238
mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )在上述语法中涉及到的参数说明如下。unescaped_...
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 202
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
mysql real java_PHP中的mysql_real_escape_string函数
weixin_33573700的博客
02-07 133
根据你的使用目的我觉得这个函数有两方面的用途:防止SQL Injection攻击,也就是你必须验证用户的输入操作数据的时候避免不必要的字符导致错误mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:\x00\n\r\'"\x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。攻击的例子[1]例子 1$con =...
mysql_real_escape_string()函数
weixin_33725515的博客
03-18 426
mysql_real_escape_string()函数 mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下: string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] ) 在上...
php mysql addslashes_PHP函数 mysql_real_escape_string 与 addslashes 的区别
weixin_33304092的博客
01-19 286
addslashes和mysql_real_escape_string都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢?首先,我们还是从PHP手册入手:手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到,只是说了一句:注意:mysql_...
php mysql_real_escape_string() 函数
苦艾文艺
10-05 562
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ’ ” \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
掌握MySQL基础操作函数详解与实例
12. `mysql_escape_string()`:对字符串进行转义,防止SQL注入攻击,确保数据的安全性。 13. `mysql_fetch_field()` 和 `mysql_fetch_field_direct()`:前者返回查询结果集中的字段信息,后者则针对已知索引获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值