个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
在 mysqli_real_escape_string() 的 PHP 文档中,写道
Caution Security: the default character set
The character set must be set either at the server level, or with the API function mysqli_set_charset() for it to affect mysqli_real_escape_string().
在关于字符集的进一步链接中,提到
The character set should be understood and defined, as it has an affect on every action, and includes security implications.
为什么为了安全需要设置字符集,它包含哪些安全隐患?任何人都可以解释这些线条背后的概念吗?
提前致谢
最佳答案
SQL 查询的解析方式取决于连接字符集。如果您执行此查询:
$value = chr(0xE0) . chr(0x5C);
mysql_query("SELECT '$value'");
然后如果连接字符集是 Latin-1 MySQL 将看到无效的:
SELECT 'à\'
而如果字符集是 Shift-JIS,字节序列 0xE0,0x5C 将被解释为双字节字符:
SELECT '濬'
为安全添加字符串文字转义:
$value = mysql_real_escape_string($value);
mysql_query("SELECT '$value'");
现在,如果您使用 mysql_set_charset 将连接字符集正确设置为 Shift-JIS,MySQL 仍会看到:
SELECT '濬'
但是如果你没有设置连接字符集,MySQL的默认字符集是Shift-JIS而PHP的默认字符集是ASCII,PHP不知道尾随的0x5C字符是双字节序列的一部分,并转义它,认为它正在生成有效输出:
SELECT 'à\\'
当 MySQL 使用 Shift-JIS 读取它时:
SELECT '濬\'
尾随 ' 用反斜杠转义,这使字符串文字保持打开状态。查询中的下一个 ' 字符将结束字符串,留下原始 SQL 内容中的任何内容。如果您可以在那里注入(inject),则查询很容易受到攻击。
此问题仅适用于少数东亚编码,如 Shift-JIS,其中多字节序列可以包含字节,这些字节本身就是有效的 ASCII 字符,如反斜杠。如果不匹配的编码都将低字节始终视为 ASCII(严格的 ASCII 超集,例如 Latin-1 与 UTF-8 之间更常见的不匹配),就不可能出现这种混淆。
幸运的是,默认使用这些编码的服务器并不常见,因此在实践中这是一个很少被利用的问题。但是如果您必须使用mysql_real_escape_string,您应该正确地使用它。 (不过最好通过使用参数化查询来完全避免它。)
关于php - mysqli_real_escape_string() 中默认字符集的安全隐患是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30608326/
25
4
0
这个问题在这里已经有了答案: 9年前关闭。 Possible Duplicate: Best way to prevent SQL Injection in PHP 我想知道 sql 注入(injec
我想消除sql注入(inject),我应该使用mysqli_real_escape_string()或者在mysqli中清楚吗? 例如 $nick = mysqli_real_escape_strin
我是 PHP 新手。我试图将一个变量的值插入到 MariaDB 表中,并试图使用 mysqli_real_escape_string 转义“$value”。我的想法来自 here .它向表中插入了一个
我有这个代码: $var = mysqli_real_escape_string($connection,$_POST['var']); $sql = "UPDATE users SET var =
有人有这个解决方案吗?我从今天晚上突然出现蓝屏错误后就遇到了这个问题。我正在使用这个简单的代码在项目中实现 session ,但在那个神秘的重启之后,这个东西表现得很奇怪!!!! 这段代码应该可以工作
我有以下 PHP 函数: public function signup() { $mysql = mysqli_connect(HOSTNAME, USERNAME, PASSWORD,
我在电子邮件地址上使用 mysqli_real_escape_string(),它返回一个空字符串。它可以对任何电子邮件地址执行此操作。 "url", "username"=>"userna
这个问题已经有答案了: PHP parse/syntax errors; and how to solve them (20 个回答) 已关闭 7 年前。 为什么即使我使用 mysqli_real_e
这个问题已经有答案了: mysqli::query(): Couldn't fetch mysqli (4 个回答) 已关闭 6 年前。 在这里,我正在创建注册新用户表单,但我在mysql_real_
所以目前我的代码采用程序格式,因此为了防止自己在 mysqli_real_escape_string 函数中添加“链接”,我创建了一个如下所示的方法: // Used to create a
我正在尝试改造我的一个项目以使用 real_escape_string。我已经阅读了文档、教程和 stackoverflow 相关问题,看起来我做得正确,但显然有些问题。我非常有信心它就是 real_
我在程序 mysqli 中创建了以下脚本,因为我刚刚从旧的 mysql 开始。我不确定查询周围的引号类型是否可以防止注入(inject)。一些用户用 ' 发布示例,另一些用户用 " 发布示例,所以现在
有人知道为什么 mysqli 在某些服务器上不起作用吗? $mysqli = mysqli_connect(DB_SERVER, DB_USER, DB_PASS, DB_DATABASE); ech
我在 php 中使用 mysqli 扩展来连接数据库。我有一个如此简单的问题。使用 mysqli 而不是 mysql 更好吗?为什么有必要使用 mysqli_real_escape_string ?这
在进行 MySQL INSERT 查询之前,我尝试同时使用 mysqli_real_escape_string 和 trim。我的代码如下: 使用上面的代码我得到“错误”消息,但是如果我删除 mys
如果我不使用 mysql_real_escape_string 函数,代码可以正常工作。但是这个函数没有返回任何东西!我读到问题可能是由于我没有 mysql 连接,但事实并非如此! 请帮忙! 最佳答
所以我忙于 PHP,在我想知道的时候将数据插入 mysql:我看到一些帖子说使用单引号将数据插入数据库是不好的做法。示例之一:Why are VALUES written between quotes
我正在使用 mysqli_real_escape_string 的 OOP 方法转义字符串。我将输入的内容保存到 session 变量中以确保它正确转义。它似乎正确转义,但是当我检查输入数据库的内容时
我在电子邮件地址上使用 mysqli_real_escape_string(),它返回一个空字符串。它对任何电子邮件地址都执行此操作。 "url", "username"=>"usernam
在 mysqli_real_escape_string() 的 PHP 文档中,写道 Caution Security: the default character set The character
我是一名优秀的程序员,十分优秀!