php中mysql_real_escape_string+sprintf防止sql注入

最新推荐文章于 2022-04-24 08:10:08 发布
原创 最新推荐文章于 2022-04-24 08:10:08 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细阐述了一个用于验证密钥的PHP函数实现过程,包括数据库查询、IP验证及返回JSON响应。 
    function verify_key($db, $key)
    {
        $clientIp = $_SERVER["REMOTE_ADDR"]; 
        $sql = sprintf("select *  from myweb_key where keydata = '%s'",mysql_real_escape_string($key));
        $query = $db->mysql_query($sql);
        if ($query) {
            # code...
            if ($db->column_num_rows($query) > 0) {
                $result  = $db->mysql_getdata($query);
                if ( $result['keydata'] == $key && $clientIp == $result['ip']) {
                    # code...
                    $array = ['status'=>'True', 'data'=>'the key is current'];
                    $array_to_json = json_encode($array);
                    return $array_to_json;
                }
                elseif ($clientIp != $result['ip']) 
                {
                    $array = ['status'=>'False', 
                        'data'=>'you address ip  is  not current in database ,must key with ip current, then you scan seach the block ip'];
                    $array_to_json = json_encode($array);
                    return $array_to_json;
                }
            }
            else
            {
                    $array = ['status'=>'False', 'data'=>'the key is  not found in column'];
                    $array_to_json = json_encode($array);
                    return $array_to_json;
            }               
        }

    }
使用C++mysql中插入二进制数据(图片)方法一
小米的修行之路
04-12 1389
1、使用到的主要函数说明: (1)mysql_real_escape_string(): unsigned long mysql_real_escape_string(MYSQL *mysql, char *to, const char *from, unsigned long length) 该函数用于创建可在SQL语句中使用的合法SQL字符串,即将二进制数据转换为合法字符串。 按照连接的当前字符集,将“from”中的字符串编码为转义SQL字符串。将结果置于“to”中,并添加1个终结用NUL
【附加】sprinf()学习,以及漏洞学习 --sql注入中可能会有,,没弄完来
Zero_Adam的博客
04-08 357
目录:1.基础知识学习2.sprintf注入原理 参考自:https://blog.youkuaiyun.com/qq_34965596/article/details/103522804?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_baidulandingword-5&spm=1001.2101.3001.4242 1.基础知识学习 把%百分号符号 替换成为一个参数进行传递的变量。 %% - 返回一个百分号 % %b - 二进制数 %c
mysql sprintf注入,sprintf()如何防止SQL注入
weixin_42348109的博客
01-27 234
I have heard that sprintf() protects against SQL injection. Is it true? If so, how?Why people are recommending to write query like this:$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %...
mysql escape 注入_在哪里使用mysql_real_escape_string防止SQL注入
weixin_33204101的博客
01-19 224
I'm in trouble with a group of hackers. they hacked my client's site few times, and my client gets more angry :( my client lost his database (which has hundreds records), and had to enter all :(now I'...
防止sql注入mysql_real_escape_string
weixin_34249367的博客
04-01 373
2019独角兽企业重金招聘Python工程师标准>>> ...
php sprintf函数引起的sql注入
黑面狐
03-11 3122
sprintf函数作用: sprintf() 函数把格式化的字符串写入变量中。 arg1、arg2、++ 参数将被插入到主字符串中的百分号(%)符号处。该函数是逐步执行的。在第一个 % 符号处,插入 arg1,在第二个 % 符号处,插入 arg2,依此类推。 注释:如果 % 符号多于 arg 参数,则您必须使用占位符。占位符位于 % 符号之后,由数字和 "\$" 组成 测试1.php文件...
151 php SQL注入的例子 & mysql_real_escape_string
fancivez的专栏
03-25 1803
SQL注入的例子mysql_real_escape_stringmysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false一个注入的例子<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con) { d
mysql_escape_string()函数用法分析
12-18
MySQL的`mysql_escape_string()`函数在过去的PHP开发中被广泛用于对用户输入的数据进行转义,以防止SQL注入攻击。然而,随着技术的发展,这个函数已经被废弃,并且不建议继续使用。在这里,我们将深入理解`mysql_...
分析WordPress中esc_sql函数引起的注入危害
swordheart的博客
04-24 507
0x00 背景 这篇文章说的不是esc_sql函数自身有什么逻辑上缺陷或者不足,而是说下关于二次开发者错误的使用此函数引起的注入漏洞。 在wordpress手册中关于esc_sql的解释,在以前的版本中,官方并没有说出这个函数有任何问题: 在近期的wordpress手册中说出了这个函数如果错误使用会造成注入漏洞: 0x01 分析 我们再看下esc_sql的实现: 1 2 3 4 5 6 7 8 9 10
c++ mysql mysql_field_C++操作MySQL数据库
weixin_30748139的博客
01-19 716
C++操作mysql数据库主要有2种方式:1、通过C++ API方式调用2、通过mysql的Connector C++=============================================================================================================================================...
直接使用mysql软件向两个表写入内容成功,为什么使用下面代码,第一个表写入中文没有问题,第二个就有问题,bool DatabaseWriter::writeToDatabase(const SchemeRunResult& task) { MYSQL* conn = connectionPool.getConnection(); if (!conn) { LWARN("获取数据库连接失败"); return false; } LWARN("开始事务"); // 开始事务 if (mysql_query(conn, "START TRANSACTION")) { char error_msg[512]; snprintf(error_msg, sizeof(error_msg), "开始事务失败 - 错误代码: %d, 错误信息: %s", mysql_errno(conn), mysql_error(conn)); LWARN(error_msg); connectionPool.releaseConnection(conn); return false; } bool success = false; int lastInsertId = 0; try { // 插入测试结果 lastInsertId = insertTestResult(conn, task); //LWARN("插入测试结果,返回ID: " + QString::number(lastInsertId).toUtf8()); if (lastInsertId <= 0) { throw std::runtime_error("插入测试结果失败"); } if (!task.Result && !task.ListDefect.isEmpty()) { //LWARN("开始插入缺陷数据,数量: " + QString::number(task.ListDefect.size()).toUtf8()); // 插入缺陷数据 if (!insertDefects(conn, lastInsertId, task.ListDefect)) { throw std::runtime_error("插入缺陷数据失败"); } LWARN("缺陷数据插入成功"); } // 提交事务 if (mysql_query(conn, "COMMIT")) { throw std::runtime_error("提交事务失败"); } //LWARN("数据写入成功,测试记录ID: " + QString::number(lastInsertId).toUtf8()); success = true; } catch (const std::exception& e) { char error_msg[512]; snprintf(error_msg, sizeof(error_msg), "数据库操作异常: %s", e.what()); LWARN(error_msg); mysql_query(conn, "ROLLBACK"); LWARN("事务已回滚"); // 输出详细的MySQL错误信息 snprintf(error_msg, sizeof(error_msg), "MySQL错误 - 代码: %d, 信息: %s", mysql_errno(conn), mysql_error(conn)); LWARN(error_msg); } connectionPool.releaseConnection(conn); return success; } bool DatabaseWriter::insertTestResult(MYSQL* mysql, const SchemeRunResult& task) { char buffer[2048] = ""; // 转义字符串防止SQL注入 char escapedScheme[256] = { 0 }; char escapedStation[256] = { 0 }; char escapedType[256] = { 0 }; mysql_real_escape_string(mysql, escapedScheme, task.schemeName.toUtf8().constData(), task.schemeName.length()); mysql_real_escape_string(mysql, escapedStation, task.StationName.toUtf8().constData(), task.StationName.length()); mysql_real_escape_string(mysql, escapedType, task.typeName.toUtf8().constData(), task.typeName.length()); sprintf(buffer, "INSERT INTO test_results (result, scheme_name, station_name, type_name, test_time, test_take_time) " "VALUES (%d, '%s', '%s', '%s', '%s', %d)", task.Result ? 1 : 0, escapedScheme, escapedStation, escapedType, task.sTestTime.toStdString().c_str(), task.nTestTakeTime ); if (mysql_query(mysql, buffer)) { char error_msg[512]; snprintf(error_msg, sizeof(error_msg), "插入测试结果失败 - 错误代码: %d, 错误信息: %s, SQL: %s", mysql_errno(mysql), mysql_error(mysql), buffer); LWARN(error_msg); return 0; } return mysql_insert_id(mysql); } bool DatabaseWriter::insertDefects(MYSQL* mysql, int testResultId, const QList<QString>& defects) { for (const QString& defect : defects) { if (defect.isEmpty()) continue; char buffer[512] = ""; char escapedDefect[256] = { 0 }; mysql_real_escape_string(mysql, escapedDefect, defect.toUtf8().constData(), defect.length()); snprintf(buffer, sizeof(buffer), "INSERT INTO defects (test_result_id, defect_name) " "VALUES (%d, '%s')", testResultId, escapedDefect ); if (mysql_query(mysql, buffer)) { char error_msg[512]; snprintf(error_msg, sizeof(error_msg), "插入缺陷数据失败 - 错误代码: %d, 错误信息: %s, SQL: %s", mysql_errno(mysql), mysql_error(mysql), buffer); LWARN(error_msg); return false; } } return true; } 为什么只有写入defect_name异常呢
最新发布
09-18
确保连接字符串中指定了字符集,例如在JDBC中:`jdbc:mysql://localhost:3306/db?useUnicode=true&characterEncoding=UTF-8` 但是,因为test_results表正常,说明连接设置应该是正确的,所以更可能是defects表或...
PHP mysql_real_escape_string() 函数防SQL注入
weixin_34341117的博客
04-02 246
PHP MySQL 函数 定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 语法 mysql_real_escape_string(string,connecti...
深入解析sprintf格式化字符串漏洞
热门推荐
KKABqN
03-14 1万+
深入解析sprintf格式化字符串漏洞 0x00 前言 从相遇到相识 从相识到相知 ......... 不过你真的懂ta吗 这次故事的主角是PHP中的格式化函数sprintf 具体详见:http://bey0nd.xyz/2018/11/05/1/ 0x01 sprintf()讲解 首先我们先了解sprintf()函数 sprintf() 函数把格式化的字符串写入变......
php中巧用sprintf组合sql语句
时光清浅处,一步一安然
08-24 1799
php中,拼接mysql的语句时,通常情况下,会使用点操作符,如下: $user_id = 1; $subject = '哲学'; $sql = "select * from scores where `user_id`=".$user_id." and `subject`='".$subject."'"; 以这种方式来拼接sql,会比较繁琐,尤其是当参数比较多的时候,下面,利用ph
PHP能用sprintf函数来防止SQL注入吗?
01-02 253
$sql = sprintf("select count(*) as qty from t_user where f_uid='%s' and f_password='%s'",$password,$userAccount); 这句话能挡住SQL注入吗?
原生phpmysql插入数据时,防止sql注入,使用mysql_real_escape_string()
阅读之后,对你有帮助,那就点个赞再走吧
12-25 568
PHP安全编程:防止SQL注入的高级技巧
PHP提供了`mysql_real_escape_string()`函数来转义特殊字符,防止它们被解析为SQL命令的一部分。不过,需要注意的是,`mysql_*`系列函数已废弃,建议使用`mysqli`或`PDO`扩展,它们提供了更安全的预处理语句。 3. *...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值