预防数据库攻击的PHP函数一例子 mysql_real_escape_string()

最新推荐文章于 2024-09-04 20:48:11 发布
最新推荐文章于 2024-09-04 20:48:11 发布
阅读量663 收藏
点赞数
文章标签: mysql string 数据库 php user sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yebanghua/article/details/6359101
版权

定义和用法

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • /x00
  • /n
  • /r
  • /
  • '
  • "
  • /x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)
参数描述
string必需。规定要转义的字符串。
connection

可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

 

提示和注释

提示:可使用本函数来预防数据库攻击。

 

例子

例子 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
 {
  die('Could not connect: ' . mysql_error());
  }

// 获得用户名和密码的代码

// 转义用户名和密码,以便在 SQL 中使用
$user = mysql_real_escape_string($user)
;
$pwd = mysql_real_escape_string($pwd)
;

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"

// 更多代码

mysql_close($con);
?>

例子 2

数据库攻击。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不检查用户名和密码
// 可以是用户输入的任何内容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 一些代码...

mysql_close($con);
?>

那么 SQL 查询会成为这样:

SELECT * FROM users
WHERE user='john' AND password='' OR 
''=''

这意味着任何用户无需输入合法的密码即可登陆。

例子 3

预防数据库攻击的正确做法:

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value)
;
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value)
 . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input
($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

 

yebanghua
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql real escape,mysql_real_escape_string()函数
weixin_26870929的博客
03-17 1215
mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )在上述语法中涉及到的参数说明如下。unescaped_...
PHP函数addslashes和mysql_real_escape_string的区别
10-26
PHP为开发者提供了一系列函数来处理数据库输入值的转义,其中最知名的是addslashes()和mysql_real_escape_string()函数。下面将详细介绍这两个函数的区别以及它们与SQL注入漏洞的关系。 首先,addslashes()函数...
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 188
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
php mysql_escape_string 替代方法,PHP_PHP函数addslashes和mysql_real_escape_string的区别,首先:不要使用mysql_escape_str...
weixin_36027600的博客
03-19 525
PHP函数addslashes和mysql_real_escape_string的区别首先:不要使用mysql_escape_string,它已被弃用,请使用mysql_real_escape_string代替它。mysql_real_escape_string和addslashes的区别在于:区别一:addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个...
mysql_real_escape_string 报错_PHP函数 mysql_real_escape_string 与 addslashes 的区别
weixin_39722375的博客
02-07 253
addslashes和mysql_real_escape_string都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢?首先,我们还是从PHP手册入手:手册上addslashes转义的字符是单引号(‘)、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到,只是说了一句:注意:mysql_...
不执行数据库查询 mysql_real_escape_string_安全替代mysql_real_escape_string吗? (PHP)
weixin_32211137的博客
01-30 193
我正在将变量传递给执行查询的函数MySQL连接仅在函数内部发生,并在函数内部关闭我希望能够在将字符串发送给函数之前安全地转义字符串我无法使用mysql_real_escape_string,因为它需要MySQL连接(仅在函数内部进行)我知道简单的答案是在函数内部转义字符串,但是我不能这样做,因为我需要发送字符串的一些转义的和一些非转义的部分例如,我需要运行以下函数:myquery("'" . es...
mysql_real_escape_string php_如何在PHP中使用mysql_real_escape_string函数
weixin_30523059的博客
02-18 226
因此,在我正在编写的此程序中,我实际上是使用表单从用户那里获取SQL查询。然后,我继续在数据库上运行该查询。我知道不要“信任”用户输入,因此我想对输入进行清理。我正在尝试使用,mysql_real_escape_string但未能成功使用。输入以下内容,这就是我要尝试的内容: select * from Actor;//"query" is the input string:$clean_stri...
mysql_real_escape_string php_php mysql_real_escape_string函数用法与实例教程
weixin_29663861的博客
01-18 193
转义特殊字符在unescaped_string,考虑到当前字符的连接设置,以便它在的地方是安全的在mysql_query()它。如果二进制数据要插入,这个函数必须被使用下列字符受影响:\x00\n\r\'"\x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法mysql_real_escape_string(string,connection)参数描述string必需。规...
mysql escape 函数_函数mysql_real_escape_string的使用详解
weixin_42517963的博客
01-27 984
[导读]mysql_real_escape_string函数转义SQL语句中使用的字符串中的特殊字符。php mysql_real_escape_string() 函数定义和用法mysql_real_escape_string() 函数转义 sql 语句中使用的字符串中的特殊字符。下列字符受影响:x00"x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。语法mysql_r...
mysql_real_escape_string 报错_PHP mysql_real_escape_string的一处注意
weixin_34593927的博客
02-07 392
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响:x00nr'"x1a如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。用法为mysql_real_escape_string(string,connection)参数string,必需。规定要转义的字符串。参数connection,可选。规定 MySQL 连接。...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
php mysql_real_escape_string、addslashes函数以及mysql绑定参数是PHP开发中常用的防止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
php mysql_real_escape_string函数用法与实例教程
01-20
语法mysql_real_escape_string(string,connection) 参数 描述 string 必需。规定要转义的字符串。 connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。 说明 本函数string 中的特殊字符转义...
MySQL——事务与存储过程(一)事务管理(3)事务的回滚
PAP
08-30 821
MySQL——事务与存储过程(一)事务管理(3)事务的回滚
MySQL数据库增删查改(基础)CRUD
chendemingxxx的博客
09-02 1051
比如说:创建一张学生表,有姓名,学号。插入两个学生。可能有点草率看看例子: 顺序不是问题,后面参数和前面括号参数对等就行。比如说上面的例子:把id和name参数倒过来了,后面参数一一对应也可以。不推荐使用全列查询原因:比如说上面例子我只要id或者说只要name;当然也可以查询多个列: 比如说我们创建一个这样的表命令:第一个 效果:第三个总分效果:拓展一个现象: 拓展:语法:比较运算符:逻辑运算符:解释:%在mysql这里代表的是多个任意字符,_代表的是 一个任意字符。揭晓来才是修改硬盘里面的内容。案例:
全面掌握MySQL数据备份策略的风险管理
2401_85760095的博客
09-04 449
在当今这个数据驱动的时代,数据库备份策略是确保数据安全和业务连续性的关键。MySQL,作为广泛使用的开源数据库管理系统,提供了多种备份工具和策略。然而,备份过程中的风险管理同样重要,它可以帮助我们识别、评估和缓解备份过程中可能遇到的问题。本文将详细介绍如何在MySQL中实现数据备份策略的风险管理,包括策略制定、执行、监控和优化。
【大数据】Canal实现MySQL数据增量同步至Kafka:原理与配置解析
最新发布
一个不断前行的程序者
09-04 418
Canal是一款开源的数据库增量日志解析组件,主要用于监控数据库数据变更,并将变更数据同步到其他存储介质。Canal通过模拟MySQL Slave的交互协议,实时获取数据库的增量更新,从而实现数据同步。本文将介绍如何使用Canal将MySQL的数据通过监听Binlog,增量发送到Kafka。Binlog(Binary Log)是MySQL数据库的二进制日志,记录了所有对数据库数据的修改操作。开启Binlog后,MySQL会实时将数据变更记录到Binlog文件中。
策略规划:在MySQL中实现数据恢复的全面指南
2401_85339615的博客
09-04 632
数据恢复是数据库管理中至关重要的一环,它确保在发生数据丢失或损坏的情况下,能够迅速且准确地恢复数据。在MySQL中,实现有效的数据恢复策略规划需要综合考虑备份策略、备份类型、存储管理、故障转移机制以及恢复流程。本文将深入探讨如何在MySQL中进行数据恢复的策略规划,包括策略制定、技术实现和最佳实践。
Java项目: 基于SpringBoot+mysql房产销售系统 (含源码+数据库+开题报告+答辩PPT+毕业论文)
weixin_43860634的博客
09-03 422
Java项目: 基于SpringBoot+mysql房产销售系统 (含源码+数据库+开题报告+答辩PPT+毕业论文)
MySQL数据备份的版本控制:策略、实践与自动化
2401_85341950的博客
09-04 291
数据备份的版本控制是指对数据库备份进行管理,以便可以追踪、访问和恢复到数据库的特定历史状态。数据恢复:在数据丢失或损坏的情况下快速恢复数据。审计和合规性:满足法规要求,提供数据访问和变更的历史记录。开发和测试:为开发和测试环境提供数据的特定版本。
mysql_real_escape_stringmysqli_real_escape_string
05-29
`mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双引号等)在 SQL 语句中的含义进行转义,以避免 SQL 注入攻击。但是这个函数已经被废弃,不建议使用。 `mysqli_real_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值