| 導購 | 订阅 | 在线投稿
分享
 
 
 

addslashes和mysql_real_escape_string

2008-12-18 07:52:38  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  本文介紹的是用 mysql_real_escape_string對用戶提交數據進行整理處理和通過addslashes以及mysql_escape_string這3個類似的功能函數的區別。經過轉義的數據可以直接插入到數據庫中。

  很好的說明了addslashes和mysql_real_escape_string的區別,雖然國內很多PHP coder仍在依靠addslashes防止SQL注入(包括我在內),我還是建議大家加強中文防止SQL注入的檢查。addslashes的問題在于黑客可以用0xbf27來代替單引號,而addslashes只是將0xbf27修改爲0xbf5c27,成爲一個有效的多字節字符,其中的0xbf5c仍會被看作是單引號,所以addslashes無法成功攔截。

  當然addslashes也不是毫無用處,它是用于單字節字符串的處理,多字節字符還是用mysql_real_escape_string吧。

  另外對于php手冊中get_magic_quotes_gpc的舉例:

  if (!get_magic_quotes_gpc()) {

  $lastname = addslashes($_POST[『lastname』]);

  } else {

  $lastname = $_POST[『lastname』];

  }

  最好對magic_quotes_gpc已經開放的情況下,還是對$_POST[』lastname』]進行檢查一下。

  再說下mysql_real_escape_string和mysql_escape_string這2個函數的區別:

  mysql_real_escape_string 必須在(PHP 4 >= 4.3.0, PHP 5)的情況下才能使用。否則只能用 mysql_escape_string ,兩者的區別是:

  mysql_real_escape_string 考慮到連接的當前字符集,而mysql_escape_string 不考慮。

  總結一下:

  addslashes() 是強行加;

  mysql_real_escape_string() 會判斷字符集,但是對PHP版本有要求;

  mysql_escape_string不考慮連接的當前字符集。
 
本文介紹的是用 mysql_real_escape_string對用戶提交數據進行整理處理和通過addslashes以及mysql_escape_string這3個類似的功能函數的區別。經過轉義的數據可以直接插入到數據庫中。 很好的說明了addslashes和mysql_real_escape_string的區別,雖然國內很多PHP coder仍在依靠addslashes防止SQL注入(包括我在內),我還是建議大家加強中文防止SQL注入的檢查。addslashes的問題在于黑客可以用0xbf27來代替單引號,而addslashes只是將0xbf27修改爲0xbf5c27,成爲一個有效的多字節字符,其中的0xbf5c仍會被看作是單引號,所以addslashes無法成功攔截。 當然addslashes也不是毫無用處,它是用于單字節字符串的處理,多字節字符還是用mysql_real_escape_string吧。 另外對于php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quotes_gpc()) { $lastname = addslashes($_POST[『lastname』]); } else { $lastname = $_POST[『lastname』]; } 最好對magic_quotes_gpc已經開放的情況下,還是對$_POST[』lastname』]進行檢查一下。 再說下mysql_real_escape_string和mysql_escape_string這2個函數的區別: mysql_real_escape_string 必須在(PHP 4 >= 4.3.0, PHP 5)的情況下才能使用。否則只能用 mysql_escape_string ,兩者的區別是: mysql_real_escape_string 考慮到連接的當前字符集,而mysql_escape_string 不考慮。 總結一下: addslashes() 是強行加; mysql_real_escape_string() 會判斷字符集,但是對PHP版本有要求; mysql_escape_string不考慮連接的當前字符集。
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有