预防数据库攻击的PHP函数一例子 mysql_real_escape_string()

最新推荐文章于 2024-09-18 15:29:51 发布
最新推荐文章于 2024-09-18 15:29:51 发布
阅读量664 收藏
点赞数
文章标签: mysql string 数据库 php user sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yebanghua/article/details/6359101
版权

定义和用法

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • /x00
  • /n
  • /r
  • /
  • '
  • "
  • /x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)
参数描述
string必需。规定要转义的字符串。
connection

可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

 

提示和注释

提示:可使用本函数来预防数据库攻击。

 

例子

例子 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
 {
  die('Could not connect: ' . mysql_error());
  }

// 获得用户名和密码的代码

// 转义用户名和密码,以便在 SQL 中使用
$user = mysql_real_escape_string($user)
;
$pwd = mysql_real_escape_string($pwd)
;

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"

// 更多代码

mysql_close($con);
?>

例子 2

数据库攻击。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不检查用户名和密码
// 可以是用户输入的任何内容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 一些代码...

mysql_close($con);
?>

那么 SQL 查询会成为这样:

SELECT * FROM users
WHERE user='john' AND password='' OR 
''=''

这意味着任何用户无需输入合法的密码即可登陆。

例子 3

预防数据库攻击的正确做法:

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value)
;
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value)
 . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input
($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

 

yebanghua
关注
PHP函数addslashes和mysql_real_escape_string的区别
10-26
PHP为开发者提供了一系列函数来处理数据库输入值的转义,其中最知名的是addslashes()和mysql_real_escape_string()函数。下面将详细介绍这两个函数的区别以及它们与SQL注入漏洞的关系。 首先,addslashes()函数...
mysql real escape,mysql_real_escape_string()函数
weixin_26870929的博客
03-17 1223
mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )在上述语法中涉及到的参数说明如下。unescaped_...
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 189
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
php mysql_real_escape_string函数用法与实例教程
10-26
phpmysql_real_escape_string函数是一个用于转义SQL查询中字符串特殊字符的函数,目的是为了防止SQL注入攻击。在Web开发中,通过用户输入构造SQL查询是非常常见的情况,然而恶意用户可能通过输入特殊格式的数据,...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
php mysql_real_escape_string、addslashes函数以及mysql绑定参数是PHP开发中常用的防止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
mysql_escape_string()函数用法分析
10-22
MySQL中的`mysql_escape_string()`函数是用来处理SQL查询中可能存在的特殊字符,以防止SQL注入攻击。这个函数PHP中被广泛使用,特别是在处理用户输入的数据时,用来转义那些可能会改变查询语句含义的字符。然而,...
MySQL】表的操作【有关表结构的操作】【创建、查看、删除、修改表结构】
aaa114514aaaa的博客
09-12 1319
对于mysql数据库的表的结构的查看,创建、删除、修改、【对字段的添加、修改】
基于SpringBoot+Vue+MySQL的瑜伽馆管理系统
程序员大金的博客
09-11 1378
基于SpringBoot+Vue+MySQL的瑜伽馆管理系统,附源码。
基于SpringBoot+Vue+MySQL的网上甜品蛋糕售卖店管理系统
程序员大金的博客
09-12 847
基于SpringBoot+Vue+MySQL的网上甜品蛋糕售卖店管理系统,附源码。
MYSQL数据库基础篇——MYSQL的安装与使用
qq_74177011的博客
09-11 568
mysql -u表示用于登录的用户名,后面的root就是用户名称,之前讲到,安装mYSQL时默认用户名是root,-p表示指定密码,即登录密码。首先打开命令提升符,并输入net start mysql80可以启动,输入net stop mysql80可以停止。这里选择第一个,当然,有可能你的版本下的MYSQL并没有这个选项,那么我们可以选择。注意:如果报以下错误,则可以尝试通过管理员的方式打开命令提示符进行操作。输入mysql -u root -p,然后输入密码就好了。然后显示下面的界面说明连接成功了;
基于SpringBoot+Vue+MySQL的招聘管理系统
程序员大金的博客
09-13 1072
基于SpringBoot+Vue+MySQL的招聘管理系统,附源码。
MySQL系统库——mysql
2301_79896143的博客
09-11 765
从上面的叙述中我们可以了解到,每个表所记载的权限的范围(也被称为权限的高低)不同,在实际的操作过程中,计算机会优先访问user表,如果user表中的某一个权限为Y,则针对该权限不再需要访问其他表,如果为N,则访问下一级的表。除去一些系统变量,我们可以关注有关于用户权限的四个表,它们分别是user,db,table_priv,column_peiv。Create_tmp_table_priv:存储用户账户是否具有创建临时表的权限。Lock_tables_priv:存储用户账户是否具有锁定表的权限。
深入 mysql,掌握一对一、一对多、多对多表设计、查询及级联操作
最新发布
早日成为鹏总
09-18 1064
注意:在外键关系中,主表是被外键引用的表,而从表是包含外键的表。因此,当主表中的记录发生变更时,从表中依赖于这些记录的外键字段会受到影响。一对多关系是数据库中常见的数据结构,其中一个实体可以关联多个其他实体,但这些被关联的实体仅指向单一实体。外键是实现表之间关系的关键工具。通过外键,可以将两个表连接起来,实现数据的整合查询。删除一篇文章时,与之关联的标签关系也会被自动删除,这是通过设置外键的。在数据库中,通常通过在“多”的一方添加一个外键来实现一对多关系。数据库通常包含多个表,每个表存储特定类型的信息。
MySQL缓存策略
oxygen3000的博客
09-12 1265
我们可以先写Redis,设置key的过期时间(一般为200ms),再马上去写MySQL,最后MySQL同步回Redis,如果MySQL写成功了,就可以同步到Redis,这一整个写操作就完成了,如果写MySQL失败了,数据就没有,就不需要同步,Redis的数据也过期自动删除,这样就当没写过。这种策略就实实在在的保证了数据一致性
MySQL——数据库的高级操作(一)数据备份与还原(2)数据的还原
PAP
09-11 759
MySQL——数据库的高级操作(一)数据备份与还原(2)数据的还原
MySQL:库表的基本操作
m0_61088872的博客
09-14 787
由于我把数据类型变小了,此时有可能会发生数据精度丢失,一般不建议这样操作。时的语句,直接执行该语句,格式比较混乱,一般来说建议将末尾的分号。文件并不是简单的拷贝一份数据库,而是保留了整个数据库的。由于我不处于任何一个数据库中,此处值为。在数据库对应的目录中,会存在一个文件。:如果数据库存在,就不创建该数据库。修改数据,主要是指修改数据库使用的。数据库中的表的本质,就是多个文件!:字符存储时,采用的编码方式。:字符读取时,采用的编码方式。,其内部存储了数据库对应的。中执行,而不是数据库中。
83-MySQL 索引有几种
weixin_41775999的博客
09-11 433
请注意,创建索引时,应考虑到索引的利弊,过多的索引会占用更多的磁盘空间,并可能影响数据的插入、删除和修改操作的性能。主键索引:特殊的唯一索引,用于唯一标识表中的每一行记录,不能有NULL值,一个表中只能有一个主键。唯一索引:与普通索引类似,但区别在于唯一索引的每一个索引值只对应唯一的数据记录。普通索引:最基本的索引类型,没有唯一性的限制,可以通过多个字段创建复合索引。空间索引:MySQL在5.7版本后支持了空间索引,主要用于GIS数据类型。组合索引:由多个字段组合创建的索引,适用于复合查询条件。
MySQL 子查询
Lzcsfg的博客
09-13 984
MySQL 中,子查询(或嵌套查询)是指在一个 SQL 查询中嵌套另一个查询。子查询可以用来在主查询中动态地检索数据,常用于过滤、计算和汇总数据等。子查询可以出现在SELECTWHEREFROM和HAVING子句中。
Mysql
qq_43157273的博客
09-11 435
mysql 锁分类、原理、使用、触发
mysql_real_escape_stringmysqli_real_escape_string
05-29
`mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双引号等)在 SQL 语句中的含义进行转义,以避免 SQL 注入攻击。但是这个函数已经被废弃,不建议使用。 `mysqli_real_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值