addslashes和mysql_real_escape_string

最新推荐文章于 2025-08-15 10:57:29 发布
最新推荐文章于 2025-08-15 10:57:29 发布
阅读量334 收藏
点赞数
文章标签: string mysql php sql 数据库 c
本文对比了addslashes与mysql_real_escape_string在防止SQL注入攻击方面的差异。addslashes在处理单字节字符时有效,但可能被特定编码绕过。mysql_real_escape_string能更好地处理多字节字符,且考虑到了字符集问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

addslashes和mysql_real_escape_string

本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。

很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。

当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。

另外对于php手册中get_magic_quotes_gpc的举例:

if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}


最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:

mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:
mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。


总结一下:

addslashes() 是强行加;

mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;

mysql_escape_string不考虑连接的当前字符集。
PHP防止SQL注入的方法:addslashesmysqli_real_escape_string的区别
MdlForward的博客
09-28 255
为了避免恶意用户通过注入恶意SQL代码来破坏数据库或获取敏感信息,开发人员需要对用户输入的数据进行适当的过滤转义。在PHP中,有两个常用的函数用于转义字符串,分别是。函数是PHP中最简单的字符串转义函数之一,它的作用是在特殊字符前添加反斜杠。它是根据当前数据库连接的字符集来执行转义操作,而不仅仅是简单地在特殊字符前添加反斜杠。函数是MySQL扩展提供的函数,它用于在字符串中转义特殊字符,以便安全地在SQL语句中使用。本文将解释这两个函数的区别,并提供相应的源代码示例。函数转义了字符串中的特殊字符。
addslashesmysql_real_escape_string区别
也想快乐的生活
10-24 690
 本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c
php mysql addslashes_PHP函数 mysql_real_escape_stringaddslashes 的区别
weixin_33304092的博客
01-19 313
addslashesmysql_real_escape_string都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢?首先,我们还是从PHP手册入手:手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。mysql_real_escape_string转义的字符并没有被提到,只是说了一句:注意:mysql_...
addslashes mysql_real_escape_string
梦想摆渡的专栏
12-03 1692
1.addslashes 说明 ¶ string addslashes ( string $str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O'reilly 插入
php函数—addslashesmysql_real_escape_string
不一样的焰火
07-02 1051
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。 很好的说明了addslashesmysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括
PHP函数addslashesmysql_real_escape_string的区别
10-26
PHP为开发者提供了一系列函数来处理数据库输入值的转义,其中最知名的是addslashes()mysql_real_escape_string()函数。下面将详细介绍这两个函数的区别以及它们与SQL注入漏洞的关系。 首先,addslashes()函数...
php addslashesmysql_real_escape_string
12-17
很好的说明了addslashesmysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27...
addslashesmysql_escape_stringmysql_real_escape_string的区别
G11176593的博客
10-23 290
它已被弃用,请使用代替它。
(转)addslashesmysql_real_escape_string的区别
jackyrongvip的专栏
07-01 1733
我们为了更深层次的探究这两个函数的不同..还是去看一看PHP的源码吧.. 这是PHPaddslashes函数.. PHP_FUNCTION(addslashes)  {      zval **str;      if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &str) == FAILURE) {         
PHPSQL注入不要再用addslashesmysql_real_escape_string
qq_36705093的博客
04-10 4656
作者:深蓝的镰刀链接:https://blog.youkuaiyun.com/hornedreaper1988/article/details/43520257著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。看了很多PHP网站在防SQL注入上还在使用addslashesstr_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_str...
PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
kendyhj9999的专栏
03-26 7021
在上次活动开发过程中,有个程序写了下面这样的语句: http://blog.youkuaiyun.com/zhuizhuziwo/article/details/8525789 [php] view plaincopy $sName = $_GET['name'];   $sName = addslashes($sName);   $sql = "SELE
mysql_real_escape_stringaddslashes区别
resilient的博客
08-04 976
mysql_real_escape_string(); addslashes(); 1 2 以上两个都是服务器发送的转义字符,都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢?? 从PHP手册上查看 mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。注意: mysql_real_esca...
addslashes()与mysql_real_escape_string()在sql注入中的应用
weixin_43803070的博客
05-07 1113
0x01: addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) 提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。Addslashes()函数我们可以利用%df 进行绕过。(即所谓的宽字节注入) 使用 addslashes(),我们需要将 mysql_query 设置为 binary 的方式,才能防...
mysql_real_escape_string总是返回false
liangzhi的博客
02-05 2500
总所周知,mysql_real_escape_string函数的作用是:转义SQL语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。并且mysql_real_escape_string()并不转义%_。 但是,如果按照手册的例子来写代码,总是返回一个False。这是因为mysql_real_escape_string()需要连接上数据库。 所以,如果想要使用mysql_real_
MySQL——binlog刷盘机制
小志的博客
08-13 282
MySQL的binlog日志提供三种刷盘策略,通过sync_binlog参数配置:0表示实时写入PageCache但延迟刷盘(性能最高但可能丢失数据);1表示每次事务提交都强制刷盘(最安全但性能低);2表示N次事务提交后刷盘(平衡方案)。MySQL 5.7.7前默认值为0,之后改为1。不同策略在数据安全性性能间取得平衡,适用于不同业务场景。
如何远程连接云服务器上mysql
最新发布
qq_38854558的博客
08-15 281
bind-address = 0.0.0.0 - 允许所有 IP 连接。- bind-address = 127.0.0.1 - 只允许本地连接。- 注释掉或删除 bind-address - 默认允许远程连接。# 查看3306端口(MySQL默认端口)# 检查主要的 MySQL 服务器配置文件。# 如果上面没有结果,检查所有相关配置文件。# 检查 bind-address 配置。# 查看MySQL进程及其端口。# 查找 MySQL 配置文件。# 或者使用ss命令。# 也检查主配置文件。
下列选项中,属于SQL注入的内置过滤函数的是( ) A mysql_escape_string() B str_replace() C intval() D addslashes()
03-31
<think>好的,用户正在寻找SQL注入防护相关的内置过滤函数,特别是提到了mysql_escape_string、str_replace、intval、addslashes这几个函数。我需要根据提供的引用内容,整理出这些函数的使用方法注意事项。 首先,我需要回顾每个引用中的相关信息。引用1提到mysql_real_escape_string必须在PHP4>=4.3.0PHP5中使用,否则用mysql_escape_string,但两者有区别,前者考虑连接字符集。引用2指出,即使使用PDO的模拟预处理,如果PHP版本低且未指定charset,仍然可能有注入漏洞,建议升级PHP并设置charset。引用4展示了一个post_check函数,里面用到了addslashes、str_replace等函数,并处理了magic_quotes_gpc的情况。引用5给出了使用mysql_real_escape_string的示例。引用3提到了MySQL的报错函数,可能注入攻击有关,但用户的问题是关于防护函数,所以这部分可能暂时不用。 接下来,我需要将每个函数的信息整理出来。mysql_real_escape_string需要考虑连接字符集,比mysql_escape_string更安全,但已弃用。addslashes用于转义特殊字符,但依赖于magic_quotes_gpc的设置,引用4中的函数处理了这个情况。str_replace用于过滤特定字符,如%_。intval用于确保数值类型,防止注入。同时,PDO的参数绑定预处理语句是更推荐的方法,如引用2提到的设置EMULATE_PREPARES为false,并指定charset。 需要注意的是,用户可能想知道这些函数的适用场景、限制以及最佳实践。比如,虽然某些函数可以过滤,但单独使用可能不够,需要组合其他方法。例如,引用4中的函数不仅用了addslashes,还处理了magic_quotes_gpc,替换了%_,并进行HTML转义。这可能超出SQL注入的范围,但用户可能关心整体输入过滤。 另外,用户提到的函数中有mysql_escape_string,但根据引用1,这个函数已经过时,推荐使用mysql_real_escape_string,而后者在PHP7中也被移除,所以最终应该建议使用PDO或MySQLi的参数化查询。 可能还需要提到,过滤函数虽然有用,但参数化查询才是更根本的解决方案,因为过滤容易遗漏,而参数化能从根本上分离数据指令。引用2中提到的PDO设置就是一个例子。 总结:需要分点列出每个函数的作用、注意事项,并强调参数化查询的重要性。同时,引用相关的内容来支持每个点,比如引用15关于mysql_real_escape_string,引用4关于addslashesstr_replace,引用2关于PDO的设置。</think>### SQL注入防护常用内置过滤函数及注意事项 #### 1. **`mysql_real_escape_string`** 用于转义字符串中的特殊字符(如单引号、双引号、反斜杠等),需基于当前数据库连接的字符集处理[^1]。 - **适用场景**:拼接SQL语句时对字符串参数进行转义。 - **注意事项**: - 仅在PHP 4.3.0+PHP 5+版本可用,且需确保已建立数据库连接。 - PHP 7中已弃用,建议改用参数化查询(如PDO或MySQLi)。 示例: ```php $username = mysql_real_escape_string($_POST['username']); $sql = "SELECT * FROM users WHERE username='$username'"; ``` --- #### 2. **`addslashes`** 自动转义单引号、双引号、反斜杠NULL字符,但依赖`magic_quotes_gpc`配置[^4]。 - **适用场景**:兼容旧代码时,需手动判断`magic_quotes_gpc`状态[^4]。 - **注意事项**: - 若`magic_quotes_gpc=On`,重复转义会导致数据错误。 - 无法防御多字节编码注入(如GBK宽字节漏洞)。 示例(结合`magic_quotes_gpc`判断): ```php if (!get_magic_quotes_gpc()) { $input = addslashes($input); } ``` --- #### 3. **`str_replace`** 用于过滤特定危险字符(如`%`、`_`),常用于模糊查询场景。 - **适用场景**:防止LIKE子句中的通配符滥用。 - **注意事项**: - 需手动定义需过滤的字符列表。 - 不能替代参数化查询或转义函数。 示例: ```php $input = str_replace(array("%", "_"), array("\%", "\_"), $input); ``` --- #### 4. **`intval`** 将变量强制转换为整数类型,用于处理数值型参数[^5]。 - **适用场景**:确保ID、年龄等参数为整数。 - **注意事项**: - 仅适用于纯数字输入,对字符串无效。 示例: ```php $id = intval($_GET['id']); $sql = "SELECT * FROM articles WHERE id=$id"; ``` --- #### 5. **`PDO参数化查询`**(推荐) 通过预处理语句分离数据与SQL指令,从根本上防御注入[^2]。 - **注意事项**: - 需设置`PDO::ATTR_EMULATE_PREPARES=false`并指定DSN字符集,避免模拟预处理漏洞。 示例: ```php $pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'user', 'pass'); $stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email"); $stmt->execute(['email' => $email]); ``` --- ### 综合建议 1. **优先使用参数化查询**(PDO或MySQLi),避免手动拼接SQL[^2]。 2. 若必须拼接SQL,组合使用过滤函数(如`intval`+`mysql_real_escape_string`)并严格校验输入格式。 3. 升级到PHP 5.3.6+,并在DSN中指定字符集(如`charset=utf8`)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值