- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
在 mysqli_real_escape_string() 的 PHP 文档中,写道
Caution Security: the default character set
The character set must be set either at the server level, or with the API function mysqli_set_charset() for it to affect mysqli_real_escape_string().
在关于字符集的进一步链接中,提到
The character set should be understood and defined, as it has an affect on every action, and includes security implications.
为什么为了安全需要设置字符集,它包含哪些安全隐患?任何人都可以解释这些线条背后的概念吗?
提前致谢
最佳答案
SQL 查询的解析方式取决于连接字符集。如果您执行此查询:
$value = chr(0xE0) . chr(0x5C);
mysql_query("SELECT '$value'");
然后如果连接字符集是 Latin-1 MySQL 将看到无效的:
SELECT 'à\'
而如果字符集是 Shift-JIS,字节序列 0xE0,0x5C 将被解释为双字节字符:
SELECT '濬'
为安全添加字符串文字转义:
$value = mysql_real_escape_string($value);
mysql_query("SELECT '$value'");
现在,如果您使用 mysql_set_charset
将连接字符集正确设置为 Shift-JIS,MySQL 仍会看到:
SELECT '濬'
但是如果你没有设置连接字符集,MySQL的默认字符集是Shift-JIS而PHP的默认字符集是ASCII,PHP不知道尾随的0x5C字符是双字节序列的一部分,并转义它,认为它正在生成有效输出:
SELECT 'à\\'
当 MySQL 使用 Shift-JIS 读取它时:
SELECT '濬\'
尾随 '
用反斜杠转义,这使字符串文字保持打开状态。查询中的下一个 '
字符将结束字符串,留下原始 SQL 内容中的任何内容。如果您可以在那里注入(inject),则查询很容易受到攻击。
此问题仅适用于少数东亚编码,如 Shift-JIS,其中多字节序列可以包含字节,这些字节本身就是有效的 ASCII 字符,如反斜杠。如果不匹配的编码都将低字节始终视为 ASCII(严格的 ASCII 超集,例如 Latin-1 与 UTF-8 之间更常见的不匹配),就不可能出现这种混淆。
幸运的是,默认使用这些编码的服务器并不常见,因此在实践中这是一个很少被利用的问题。但是如果您必须使用mysql_real_escape_string
,您应该正确地使用它。 (不过最好通过使用参数化查询来完全避免它。)
关于php - mysqli_real_escape_string() 中默认字符集的安全隐患是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30608326/
我正在使用使用jetty的Spring-Web应用程序: org.springframework.boot spring-boot-starter-web
我想匹配空格字符( )仅当它们后跟一个哈希( # )。 这是什么( #)下面是尝试做的,这是一个捕获组。 (我尝试转义括号,否则无法在组集中正确识别括号)。但是,这是行不通的。 下面的正则表达式 /#
我正在实现一个词法扫描器。我如何实现字符集?大多数字符集都采用范围形式,即 A-Z、h-L 等。我必须检查字符 ch 是否是字符集的成员。除了数组和位集之外,我可以在 Java 中使用哪种高效的数据结
我今天注意到我们的数据库使用字符集“utf8 -- UTF-8 Unicode”和排序规则“utf8_general_ci”,但里面的大多数表和列都使用 CHARSET=latin1。我会遇到任何问题
我有一个包含多种语言的 Mysql 表,一种语言一个字段。 我的字符集是utf_general_ci 当我用 phpMyAdmin 查看表格时,我有一个保加利亚语页面,如下所示: За наÑ
根据 MSDN vb.net uses this extended character set .根据我的经验,它实际上使用了这个: 我错过了什么?为什么它说它使用一个而使用另一个? 难道我做错了什么
我在 Symfony2 中有一个项目,它在我的本地主机上运行良好,但是在将其移动到外部服务器后问题已经开始。 我没有从包含波兰语字符的数据库中看到任何结果名称 在 Profiler 中,我检查了查询:
我更新了我的网络应用程序以使用 UTF-8 而不是 ANSI。 我做了以下措施来定义字符集: mysql_set_charset("utf8"); // PHP // HTML utf8_gener
typedef unsigned char Set; Set s1,s2; s1 = 0xda; PRINT(s1); printf("%d\n", s1); s2 = -s1; pri
我有一个 PHP/MySQL 应用程序,它需要在幕后处理 UTF-8 字符(UTF-8 字符不会显示在屏幕上)。 UTF-8 字符来自 PHP cURL 请求。 我需要做什么才能使 PHP 和 MyS
我正在使用 utf8_general_ci 作为字符集在 MySQL 中构建一个用户表。 1-) 使用这个字符集,两个用户一个叫 Bob 另一个叫 bob 看起来是同一个,对吧?我不知道这可能会导致一
我知道之前已经回答过这个问题,但我发现的解决方案不适用于我的系统(我已经测试过了)。 我想更改 Mysql 中的默认排序规则。这似乎设置为 latin1_swedish_ci,我想将其更改为 UTF8
我正在开发一个母语学习应用程序。我需要将一些字符存储为“ẽũ”。我的数据库设置为具有默认排序规则的 utf-8 字符集,以及受此字符影响的表。 问题是当我尝试使用常规 SQL 插入添加一行时: INS
有什么方法可以定义字符集,以及属于 的其他信息吗? jsFiddle 上的标签? 我知道他们侧面板的“信息”部分,但不允许 标签。 提前致谢! 最佳答案 是的,把它放在CSS部分: 使用 jQ
我正在创建一个对象运行时: var myObj = {}; myObj[propertyName] = propertyValue; propertyName 是变量,如果它像“a.b”,我的对象就有
假设我有一个值为 42 (*) 的字符。我需要在 n 行中打印这个字符,n 由用户定义。但是,对于每个换行,都必须打印另一个 *。如果用户输入“6”,那么结果将是这样的: * ** *** ****
该标准定义了 基本源字符集 基本执行字符集及其对应的宽字符 它还定义了“执行字符集”及其对应的宽字符,如下所示 $2.2/3- "The execution character set and the
我想 ping 目标 IP 地址并接收响应。为此,我在 Java 中使用带有 runtime.exec 方法和进程类的 Windows 命令行。我正在使用 inputStreamReader 获取响应
是否有任何方法可以更改 MySQL Workbench 字符集?我的架构使用 UTF-8,当我查看表数据(另存为 UTF-8)或手动添加数据时,出现字符集错误,可能 MySQL Workbench 使
我有一个文本选择/规范对话框,用户可以从列表中指定字体,设置粗体、斜体等。然后我使用 LOGFONT 中的信息创建一个 CFont 随后在 CEdit 中用作预览。 但是,如果用户选择像 Wingdi
我是一名优秀的程序员,十分优秀!