php 防mysql注入函数 addslashes和mysql_real_escape_string

最新推荐文章于 2021-02-07 07:43:49 发布
最新推荐文章于 2021-02-07 07:43:49 发布
阅读量913 收藏
点赞数
分类专栏: PHP

什么都不说,先上代码

1
2
3
4
5
6
7
8
function get_str( $string )
{
     if (!get_magic_quotes_gpc())
     {
         return addslashes ( $string );
     }
     return $string ;
}

国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。

最好对magic_quotes_gpc已经开放的情况下,还是对$_POST['lastname']进行检查一下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:

mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。


总结一下:

addslashes() 是强行加;
mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;
mysql_escape_string不考虑连接的当前字符集。

PHP函数addslashesmysql_real_escape_string的区别
10-26
总结来说,addslashes()mysql_real_escape_string()虽然都是PHP中用于止SQL注入的转义函数,但它们各自有局限性。随着时间的推进,addslashes()被弃用,而mysql_real_escape_string()虽然更为强大,但使用预处理...
php mysql_real_escape_string addslashesmysql绑定参数SQL注入攻击
10-20
php mysql_real_escape_stringaddslashes函数以及mysql绑定参数是PHP开发中常用的止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
mysql_escape_string()函数用法分析
10-22
主要介绍了mysql_escape_string()函数用法,结合实例形式讲述了mysql_escape_string()函数的功能,并分析了mysql_escape_string的使用技巧与注意事项,需要的朋友可以参考下
PHPSQL注入不要再用addslashesmysql_real_escape_string
weixin_34191845的博客
11-10 289
PHPSQL注入不要再用addslashesmysql_real_escape_string了,有需要的朋友可以参考下。 博主热衷各种互联网技术,常啰嗦,时常伴有强迫症,常更新,觉得文章对你有帮助的可以关注我。 转载请注明"深蓝的镰刀" 看了很多PHP网站在SQL注入上还在使用addslashesstr_replace,百度一下"PHP注入...
addslashes()与mysql_real_escape_string()在sql注入中的应用
weixin_43803070的博客
05-07 1110
0x01: addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) 提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。Addslashes()函数我们可以利用%df 进行绕过。(即所谓的宽字节注入) 使用 addslashes(),我们需要将 mysql_query 设置为 binary 的方式,才能...
php 止SQL注入函数
weixin_33895016的博客
05-21 94
function inject_check($sql_str) { return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);// 该函数已经被弃用 相当于preg_match() } function...
php addslashesmysql_real_escape_string
12-17
PHP提供了两种主要的函数来帮助处理这种问题:`addslashes()` `mysql_real_escape_string()`。尽管两者都能在一定程度上止SQL注入,但它们各有特点,适用场景也有所不同。 `addslashes()` 函数会在字符串中的...
mysql escape 注入_php mysql注入函数 addslashesmysql_real_escape_string
weixin_39614228的博客
02-07 173
12345678function get_str($string){if (!get_magic_quotes_gpc()){return addslashes($string);}return $string;}国内很多PHP coder仍在依靠addslashes止SQL注入(包括我在内),我还是建议大家加强中文止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引...
php过滤字符串的addslashes函数
weixin_30379911的博客
05-23 188
为了数据安全,注入需要过滤$_GET获得的字符串,一开始我还自已写过滤的函数,后来看到php自带的一个过滤函数,所以把addslashes推荐给大家。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如,将名字 O'reilly 插入到数据库中,这就需要对其进行转义。大多数据库使用 \ 作为转义符:O\'reilly。这样可以将数据放入数据库中,而不会插入额外的...
mysql_real_escape_string
weixin_34033624的博客
03-26 238
mysql_real_escape_string (PHP 4 >= 4.3.0, PHP 5) mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 说明 string mysql_real_escape_string ( string $unescaped_string [, resource ...
PHPSQL注入不要再用addslashesmysql_real_escape_string
qq_36705093的博客
04-10 4640
作者:深蓝的镰刀链接:https://blog.youkuaiyun.com/hornedreaper1988/article/details/43520257著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。看了很多PHP网站在SQL注入上还在使用addslashesstr_replace,百度一下"PHP注入"也同样在使用他们,实践发现就连mysql_real_escape_str...
mysql_real_escape_string转变了哪些字符
xiuzhentianting的博客
02-18 2957
256个0-255的字符串,变成了263个字符,多了7个,也就是转换了7个字符。 00->5c 30  0x00->\0 0a->5c 6e  换行->\n 0d->5c 72  回车->\r 1a->5c 5a  代替->\Z 22->5c 22  "   ->\" 27->5c 27  '   ->\' 5c->5c 5c  \   ->\\
mysql_real_escape_string 注入_围绕mysql_real_escape_string()的SQL注入
weixin_39862985的博客
01-19 597
沧海一幻觉简短的回答是肯定的,是的,有办法绕行mysql_real_escape_string()。对于非常糟糕的边缘案例!!!答案很长并不容易。它基于此处演示的攻击。攻击那么,让我们从展示攻击开始......mysql_query('SETNAMESgbk');$var=mysql_real_escape_string("\xbf\x27OR1=1/*");mysql_query(...
MySQL SQL 注入
weixin_34272308的博客
06-12 194
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本博文将为大家介绍如何止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用...
151 php SQL注入的例子 & mysql_real_escape_string
fancivez的专栏
03-25 1782
SQL注入的例子mysql_real_escape_stringmysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false一个注入的例子<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con) { d
addslashes:会导致SQL注入漏洞
热门推荐
悟空悟空,越悟越空
09-15 2万+
参考这位大虾:http://shiflett.org/archive/184  addslash包括php.ini中默认设置的magic_quotes_gpc = On,也会存在这种可能:原因:addslashes对有些特殊字符后跟上(单引号)并不会加把这个变成/如: 0xbf27 的字就不会,所以    縗 OR 1 limit 1/*  这个就存在[code]heade
提升PHP网站安全:范XSS与SQL注入
MySQL函数mysql_real_escape_stringaddslashes以及第三方库如Zend Framework的DB类(quote、quoteInto)或HTMLPurifier等,都可用来清洗转义用户输入,保护数据安全。 在处理文件上传时,务必检查文件是否已...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值