预防数据库攻击的PHP函数一例子 mysql_real_escape_string()

最新推荐文章于 2024-09-22 18:03:42 发布
最新推荐文章于 2024-09-22 18:03:42 发布
阅读量664 收藏
点赞数
文章标签: mysql string 数据库 php user sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yebanghua/article/details/6359101
版权

定义和用法

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • /x00
  • /n
  • /r
  • /
  • '
  • "
  • /x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)
参数描述
string必需。规定要转义的字符串。
connection

可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

 

提示和注释

提示:可使用本函数来预防数据库攻击。

 

例子

例子 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
 {
  die('Could not connect: ' . mysql_error());
  }

// 获得用户名和密码的代码

// 转义用户名和密码,以便在 SQL 中使用
$user = mysql_real_escape_string($user)
;
$pwd = mysql_real_escape_string($pwd)
;

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"

// 更多代码

mysql_close($con);
?>

例子 2

数据库攻击。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不检查用户名和密码
// 可以是用户输入的任何内容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 一些代码...

mysql_close($con);
?>

那么 SQL 查询会成为这样:

SELECT * FROM users
WHERE user='john' AND password='' OR 
''=''

这意味着任何用户无需输入合法的密码即可登陆。

例子 3

预防数据库攻击的正确做法:

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value)
;
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value)
 . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input
($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>

 

yebanghua
关注
PHP函数addslashes和mysql_real_escape_string的区别
10-26
PHP为开发者提供了一系列函数来处理数据库输入值的转义,其中最知名的是addslashes()和mysql_real_escape_string()函数。下面将详细介绍这两个函数的区别以及它们与SQL注入漏洞的关系。 首先,addslashes()函数...
mysql real escape,mysql_real_escape_string()函数
weixin_26870929的博客
03-17 1223
mysql_real_escape_string()函数mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:string mysql_real_escape_string ( string $unescaped_string[, resource $link_identifier ] )在上述语法中涉及到的参数说明如下。unescaped_...
mysql real_PHP mysql_real_escape_string() 函数
weixin_42137022的博客
01-18 189
例子例子 1$con = mysql_connect("localhost", "hello", "321");if (!$con){die('Could not connect: ' . mysql_error());}// 获得用户名和密码的代码// 转义用户名和密码,以便在 SQL 中使用$user = mysql_real_escape_string($user);$pwd = mysql...
php mysql_real_escape_string函数用法与实例教程
10-26
phpmysql_real_escape_string函数是一个用于转义SQL查询中字符串特殊字符的函数,目的是为了防止SQL注入攻击。在Web开发中,通过用户输入构造SQL查询是非常常见的情况,然而恶意用户可能通过输入特殊格式的数据,...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
php mysql_real_escape_string、addslashes函数以及mysql绑定参数是PHP开发中常用的防止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
mysql_escape_string()函数用法分析
10-22
MySQL中的`mysql_escape_string()`函数是用来处理SQL查询中可能存在的特殊字符,以防止SQL注入攻击。这个函数PHP中被广泛使用,特别是在处理用户输入的数据时,用来转义那些可能会改变查询语句含义的字符。然而,...
Java项目实战II基于Java+Spring Boot+MySQL的洗衣店订单管理系统(开发文档+源码+数据库
2401_86524610的博客
09-20 1190
随着生活节奏的加快,现代人对便捷、高效服务的需求日益增长,洗衣店作为日常生活服务的重要组成部分,其订单管理效率直接影响着客户体验和经营效益。传统的洗衣店订单管理方式大多依赖纸质记录或简单的电子表格,这种方式不仅效率低下,而且容易出错,难以追踪和统计订单信息。为了解决这些问题,我们设计并实现了一款基于Java+Spring Boot+MySQL的洗衣店订单管理系统。该系统充分利用了Spring Boot的简化开发和MySQL数据库的强大性能,实现了订单信息的数字化管理。
2024最新版MySQL详细学习教程
2401_86940371的博客
09-17 1326
返回一个字符串,在这里对于在“bits”中设定每一位,你得到一个“on”字符串,并且对于每个复位(reset)的位,你得到一个 “off”字符串。如果e1成立,则返回v1,如果e2成立,则返回v2,当全部不成立则返回vn,而当有一个成立之后,后面的就不执行了。MD5(str)函数可以对字符串str进行散列,可以用于一些普通的不需要解密的数据加密。字符串函数MySQL中最常用的一类函数,字符串函数主要用于处理表中的字符串。如果count是负数,返回第(count的绝对值(从右边数))个字符右边的字符串。
课题分享:宿舍管理系统小程序,基于微信小程序+SSM+mysql
zhongshu_luo的博客
09-19 1347
互联网概念的产生到如今的蓬勃发展,用了短短的几十年时间就风靡全球,使得全球各个行业都进行了互联网的改造升级,标志着互联网浪潮的来临。在这个新的时代,各行各业都充分考虑互联网是否能与本行业进行结合,是否能解决本行业或者本行业中某些方面的自古以来的痛点。长期以来,数据内容,数据传播,数据储存等都是一门门专业的内容,因为需要记住的内容很多,造成古人的言简意赅,如今互联网的到来让数据更加的清晰好认不复杂,一目了然不出错,毕竟在整个历史上数据的丢失,传承的断代,都是因为数据不能好好的保存,不能好好的流传。
MySQL中去除重复
hdjag的博客
09-18 364
示例:查询employees表,显示唯一的部门ID。
Mysql 面试题
AVICCI的博客
09-18 1663
SQL注入漏洞是一种常见的网络安全攻击方式,攻击者通过在输入的数据中注入恶意SQL代码,从而在后台数据库中执行非法的SQL操作,例如删除、修改、插入、查询等,从而获得敏感信息或者破坏数据库的完整性。为了避免SQL注入漏洞,可以采取以下措施:使用预编译语句或参数化查询来防止 SQL 注入,这样可以将 SQL 语句与用户输入的数据分离开来,有效地避免了 SQL 注入漏洞。对用户输入的数据进行严格的数据验证和过滤,过滤掉不合法的字符,例如单引号、双引号等。
Web+Mysql——MyBatis
qq_73643693的博客
09-20 1370
MyBatis 是一款优秀的持久层框架,用于简化 JDBC 开发MyBatis 本是 Apache 的一个开源项目iBatis, 2010年这个项目由apache software foundation 迁移到了google code,并且改名为MyBatis。2013年11月迁移到Github官网:https://mybatis.org/mybatis-3/zh/index.html负责将数据到保存到数据库的那一层代码。以后开发我们会将操作数据库的Java代码作为持久层。
MySQL CHAR 会补齐空格吗?
最新发布
喵手的博客
09-22 561
CHAR是一种固定长度的字符数据类型,其长度在创建表结构时由用户指定。无论实际存储的字符串长度如何,CHAR类型都会占用固定的字节数。如果存储的字符串长度不足定义的长度,MySQL 会自动在右边补齐空格以满足指定的长度。
梧桐数据库(WuTongDB):MySQL 优化器简介
lunan的博客
09-19 956
MySQL 优化器是一个复杂的系统,它通过生成多个查询计划并基于代价模型选择最优计划来提升查询效率。优化器依赖多种技术,包括索引优化、连接重排序、子查询优化等,来尽可能减少查询的代价。在 MySQL 的最新版本中,优化器功能得到了进一步增强,例如引入了哈希连接、并行查询等功能,极大提升了查询性能。梧桐数据库(WuTongDB)是基于 Apache HAWQ 打造的一款分布式 OLAP 数据库
mysql5.7小版本升级
mzh10588的博客
09-19 293
下载最新的5.7版本5.7.44,下载后,解压备用。最近因为mysql漏洞问题需要升级版本。5,启动成功:数据库检查mysql版本。5.7.17升级到最新的5.7.44。4,服务中:重启mysql。文件被另一个程序打开。
【编程底层原理】mysql的redo log undo log bin log日志的作用,以及何时生成,涉及到哪些参数变量
Dylaniou的博客
09-20 422
这些日志共同工作,确保了MySQL数据库的稳定性和数据的一致性。Redo log和undo log是InnoDB存储引擎特有的日志,而binlog则是MySQL服务器层的日志,它们之间的区别主要在于作用、生成时机和适用对象。
python mysql pymysql 数据库操作,常用脚本,个人小工具
waterHBO的博客
09-19 601
检查服务器是否启动了: Get-Service -Name ‘mysql*’(最好是开启管理员权限)整理 mysql 工具。
Mysql系列-索引优化
磊杰的博客
09-19 1157
使用Explain关键字可以模拟优化器执行SQL语句,分析查询语句或结构的性能瓶颈,在select语句之前增加explain关键字,mysql会在查询上设置一个标记,执行查询会返回执行计划的信息,而不是执行当前SQL;其中:如果from中包含子查询,仍会执行该子查询,将结果放入临时表中;
Spring 事务与 MySQL 事务:深度解析与实战指南
果酱 の 博客
09-19 1087
事务是一个逻辑工作单元,它包含了一组数据库操作,这些操作要么全部成功执行,要么全部回滚,以保证数据的一致性和完整性。例如,在银行转账系统中,从一个账户转出资金并转入另一个账户的操作就应该在一个事务中进行,以确保资金的正确转移,不会出现部分操作成功而部分操作失败的情况。Spring 事务与 MySQL 事务的结合为企业级应用开发提供了强大的事务管理功能。
mysql_real_escape_stringmysqli_real_escape_string
05-29
`mysql_real_escape_string` 是用于 MySQL 扩展库的函数,它可以将某些特殊字符(例如单引号、双引号等)在 SQL 语句中的含义进行转义,以避免 SQL 注入攻击。但是这个函数已经被废弃,不建议使用。 `mysqli_real_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值