php - mysql_real_escape_string() 做了哪些 addslashes() 没有做的事情？-6ren

php - mysql_real_escape_string() 做了哪些 addslashes() 没有做的事情？

转载作者：IT王子更新时间：2023-10-28 23:55:31

24

4

为什么我们需要一个特定于数据库的函数，比如 mysql_real_escape_string()？ addlashes() 不能做什么？

暂时忽略参数化查询的优越替代方案，仅使用 addlashes() 的 web 应用仍然容易受到 SQL 注入(inject)的攻击，如果是，如何？

最佳答案

它添加斜线到:

\x00, \n, \r, \, ', " and \x1a. characters.

其中addslashes 只添加斜线

' \ and NUL

Ilias article它的功能也很详细

关于php - mysql_real_escape_string() 做了哪些 addslashes() 没有做的事情？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/534742/

24

4

0

文章推荐： mysql - 存储过程和单元测试

文章推荐： php - Curl 和 PHP - 如何通过 curl 通过 PUT、POST、GET 传递 json

文章推荐： linux - OpenID PAM 模块

带有从数组中提取的变量的 mysql_real_escape_string
原帖: 我的脚本不工作(它不记录数据)。它在我添加 mysql_real_escape_string 之前工作，所以我想知道我是否没有正确实现它: $array = json_decode($down
mysql_real_escape_string 超出数据库？
如果我在将变量放入 mysql 表之前使用了 mysql_real_escape_string，我是否需要对从表中取出的任何变量再次使用它？最佳答案如果要将变量放回数据库，则需要再次使用它。否则，
mysql_real_escape_string() 导致段错误
我正在开发一个使用 mysql.h 库的 C 程序。这是代码: int newproduct(){ char *name;//nombre del prducto char *de
mysql_real_escape_string 问题
如果我输入 ' 在我的搜索栏中，我收到一个 mysql 错误，因为“刺痛”没有被转义——它认为。但是我之所以无法转义，是因为我认为它目前不是一个字符串。搜索框使用 ajax 动态生成搜索结果，就像
mysql_real_escape_string 错误
我收到警告:mysql_real_escape_string() [function.mysql-real-escape-string]:用户 'username'@'localhost' 的访问被
php - mysql_real_escape_string 适用于本地主机但不适用于网络服务器
我有一个 PHP 脚本，它在从用户填写的表单中获取数据后将一条记录插入到数据库中。我在我的本地机器(WAMP 服务器)上开发并在我的 PHP 脚本中包含以下代码: $name = mysql_real
php - mysql_real_escape_string 是否足以用于非常简单的数据库插入？
示例代码: $email = "" . $_POST['email']; $con = mysql_connect("localhost","user","pass") or die('Could
php - 何时使用 mysql_real_escape_string()
什么时候使用 mysql_real_escape_string 是正确的时间？当我使用 isset(mysql_escape_string($_GET['param'])) 时是否应该使用它，当我
mysql - 撤消 mysql_real_escape_string
我的每个 php 页面的顶部都有以下代码: foreach ($_POST as $key => $value) { if (!is_array($value)) {
php - mysql_real_escape_string 从存储的电子邮件中删除换行符
我使用 imap_mail (php) 从我的邮件服务器收集电子邮件，在使用 mysql_real_escape_string 后分解结果并将其保存到数据库。如果我从数据库检索后将其显示在文本区域中
php - mysql_real_escape_string 返回空白的奇怪问题
我正在创建一个magento模块，并且在 Controller 中我试图生成一个查询。例如:"INSERT INTO ". $resource->getTableName('mymod/mymodta
php - mysql_real_escape_string()在cakePHP中不起作用
我的查询是这样的， ... ON (`Test`.`id` = `Form`.`close_`%)... 它抛出错误，提示Syntax error or access violation: 1064。
php - 替换 mysql_real_escape_string() :
这个问题已经有答案了: How to change mysql to mysqli? (12 个回答) 已关闭 2 年前。由于 mysql_real_escape_string 现已弃用，我必须更改
php - mysql_real_escape_string() 对于十六进制编码数据不安全吗？
我们知道，在php脚本中的mysql上执行之前，所有用户输入都必须通过mysql_real_escape_string()函数进行转义。并且知道此函数在用户输入中的任何 ' 或 " 字符之前插入\。假
php - mysql_real_escape_string() 发生限制查看谷歌地图
我粘贴谷歌地图代码 View Larger Map 在文本区域中并使用mysql_real_escape_string(trim($_POST'map'])) 但是从 mysql 表中获取数据时
php - mysql_real_escape_string 不让字符串通过
我正在尝试清理进入数据库的字符串。但使用下面的代码，我没有得到数据库的更新。第一页以输入形式发布此内容: $note="Here is some example text"; 接收页面: $note
php - mysql_real_escape_string 会导致问题吗？
好的。所以我做了一个表格。如果我在从表单中检索到的变量 $usrname (是的，拼写正确)上输入 mysql_real_escape_string ，它会返回我的另一个变量 $verify 为 fa
mysql - 理解 mysql_real_escape_string();
我不明白为什么 mysql_real_escape_string 需要转义换行符和回车符: \n 和 \r 使用 \n 和 \r 的 SQL 中可能存在哪些安全漏洞？ UPDATE tbl SET f
php - mysql_real_escape_string 未显示错误
我正在将我的应用程序从 Mysql 扩展移至 PHP PDO。我面临一个奇怪的问题。在我的开发环境中，我的数据库服务器 [MySQL] 和 Web 服务器都位于单个系统中，而在测试环境中，Web 和数
php - mysql_real_escape_string 不够好？
因此，即使使用 mysql_real_escape_string 清理数据，您也可以使用 %27 进行 SQL 注入(inject) %27) SQL INJECTION HERE %2F* 怎么办？

首页

博学

6Ren·AI

商城

php - mysql_real_escape_string() 做了哪些 addslashes() 没有做的事情？