Home > php教程 > php手册 > PHP mysql_real_escape_string的一处注意

PHP mysql_real_escape_string的一处注意

WBOY
Release: 2016-06-13 09:38:56
Original
1326 people have browsed it

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • x00
  • n
  • r
  • '
  • "
  • x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

用法为mysql_real_escape_string(string,connection)

  • 参数string,必需。规定要转义的字符串。
  • 参数connection,可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于 mysql_query()。使用本函数来预防数据库攻击。

mysql_real_escape_string()的简单使用

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
	die('Could not connect: ' . mysql_error());
}
// 获得用户名和密码的代码
// 转义用户名和密码,以便在 SQL 中使用
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// 更多代码
mysql_close($con);
?>
Copy after login

SQL被注入的情况(没有使用mysql_real_escape_string())

数据库攻击。本例演示如果我们不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
	die('Could not connect: ' . mysql_error());
}
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// 不检查用户名和密码
// 可以是用户输入的任何内容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// 一些代码...
mysql_close($con);
?>
Copy after login

那么 SQL 查询会成为这样:

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''
Copy after login

这意味着任何用户无需输入合法的密码即可登陆。

预防数据库攻击的正确做法:

<?php
function check_input($value)
{
	// 去除斜杠
	if (get_magic_quotes_gpc())
  	{
  		$value = stripslashes($value);
  	}
	// 如果不是数字则加引号
	//if (!is_numeric($value))
  	//{
  		$value = mysql_real_escape_string($value);
  	//}
	return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
	die('Could not connect: ' . mysql_error());
}
// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>
Copy after login

一些经验

mysql_escape_string()也起到差不多的效果。关于这两个函数,记得我在用mysql_real_escape_string() 这个函数时,程序总是出错,不知道错误的原因,后来换成mysql_escape_string() 这个函数时,就可以了。查找手册,发现在用mysql_real_escape_string() 时,必须要先建立数据库连接,否则则报错 -___-|||

mysql_real_escape_string() calls MySQL's library function mysql_escape_string, which prepends backslashes to the following characters: NULL, x00, n, r, , ', " and x1a

mysql_escape_string() does not escape % and _.

This function is identical to mysql_real_escape_string() except that mysql_real_escape_string() takes a connection handler and escapes the string according to the current character set. mysql_escape_string() does not take a connection argument and does not respect the current charset setting.

<?php
// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
 OR die(mysql_error());
// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
 mysql_real_escape_string($user),
 mysql_real_escape_string($password));
?>
Copy after login
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Recommendations
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template