位置: 编程技术 - 正文

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

编辑:rootadmin

推荐整理分享php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击,希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:,内容如对您有帮助,希望把文章链接给更多的朋友!

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法:

使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param()

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:

当输入name值为name=%bf%%or%sleep%.%%3d0%limit%%时,sql语句输出为:

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:

addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf来代替单引号,而addslashes只是将0xbf修改为0xbf5c,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

addslashes会自动给单引号,双引号增加,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数,给大家举个例子:

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

总结:

上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。

感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!

ThinkPHP 整合Bootstrap Ajax分页样式 ThinkPHPAjax分页代码publicfunctionindex(){$where=array();$name=I('name');if(!empty($name)){$where['name']=array('like','%'.(string)$name.'%');}$Role=M('Role');$count=$Role-where($where)-count();//

如何判断php mysqli扩展类是否开启 如何判断phpmysqli扩展类是否开启php判断mysqli扩展类是否开启,源码如下:php/*

php 反斜杠处理函数addslashes()和stripslashes()实例详解 php反斜杠处理函数addslashes():对输入字符串中的某些预定义字符前添加反斜杠,这样处理是为了数据库查询语句等的需要。这些预定义字符是:单引号('

标签: php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

本文链接地址:https://www.jiuchutong.com/biancheng/297070.html 转载请保留说明!

上一篇:利用PHP生成CSV文件简单示例(生成php文件)

下一篇:ThinkPHP 整合Bootstrap Ajax分页样式(thinkphp项目怎么部署)

  • 个税申报按权责发生制行吗?
  • 发票已开后 对方公司名称变更怎么处理
  • 农业免税企业账户怎么查
  • 营改增税负分析测算明细表一般由谁填写
  • 一次性发放年终奖怎么税务筹划
  • 农产品增值税抵扣新政策2021
  • 税控盘会计处理
  • 用现金支付购买增值税应税服务
  • 发票折扣有没有限制
  • 发票上的二维码可以扫金额吗
  • 购买健身器材需要注意什么
  • 无票收入增值税申报表怎么填小规模纳税人
  • 工程款的材料商可以直接起诉业主吗
  • 拆除原有建筑物成本扣除
  • 拍卖抵债资产的缴税责任
  • 全免增值税企业所得税吗
  • 全年一次性奖金税率表
  • Win11 Build 22000.132 预览版 ISO 官方镜像下载与安装
  • 医生规培生补贴每年多少钱
  • thinkphp 路由
  • 公司主要开支是指什么
  • 为什么链接网线后无法链接网络
  • 无法访问或访问被拒绝是怎么解决
  • elementui ts
  • 支付投资款怎么做账
  • 什么是主营业务税金及附加
  • 产品出库单什么时候入账
  • 增值税三流合一涉及子公司
  • 价值高的备件算固定资产吗
  • 房地产企业项目开发法律风险
  • php修改头像
  • php使用pclzip类实现文件压缩的方法(附pclzip类下载地址)
  • 企业清算所得税政策
  • stable Diffusion安装教程
  • 公司变更需要哪些资料~问华杰 财务
  • 一般纳税人是否享受减免政策
  • 织梦cms要钱吗
  • mongodb添加环境变量
  • 福利费要分部门吗
  • 管理费用属于产品成本么
  • 发放职工薪酬计入什么科目
  • 购入货物的运费计入
  • 递延所得税负债大白话解释
  • 委托代销受托方会计分录
  • 一般纳税人购入商品会计分录
  • 一般纳税人怎么算税
  • 企业每月营业额达多少需要交税
  • 小规模纳税人所得税计算
  • 电商行业的采购
  • 投资款如何界定
  • 民间非营利组织会计制度及操作实务
  • 失控发票进项税转出企业无法承担所得税怎么办
  • 原始凭证的审核要求有哪些
  • 怎样备份微信聊天记录到新手机
  • win7使用mbr还是guid
  • 如何隐藏文件夹并显示隐藏的文件夹
  • windows超级管理员默认密码
  • hc off line什么意思
  • rtmservice.exe - rtmservice是什么进程 有什么用
  • kochsysteme
  • win8操作系统如何安装
  • linux常用命令查询
  • 不要使用CSS Expression的原因分析
  • unity3d最新
  • android 蓝牙 驱动 适配 sdio rk
  • 几个常用的微课网站
  • javascript的dom
  • jquery使用教程
  • jquery用什么编写
  • jquery easyui开发指南
  • python 字符
  • Tiled GPU perf. warning: RenderTexture color surface (0x0) was not cleared/discarded
  • Metaio in Unity3d 教学--- 四.再谈谈图片扫描之tracking配置文件
  • js中提交表单
  • jquery的遍历方法
  • 电子税务局用户名和密码是什么
  • 材料费增值税发票几个点
  • 车船税补办
  • 统一社会信用代码证
  • 四川社保2020增资方案
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设