Maison > développement back-end > tutoriel php > Comment échapper en toute sécurité des chaînes dans SQL Server lors de l'utilisation de PHP ?

Comment échapper en toute sécurité des chaînes dans SQL Server lors de l'utilisation de PHP ?

Barbara Streisand
Libérer: 2024-12-14 02:36:09
original
310 Les gens l'ont consulté

How to Safely Escape Strings in SQL Server When Using PHP?

Échapper en toute sécurité des chaînes dans SQL Server à l'aide de PHP

Lors de l'interaction avec SQL Server à l'aide de PHP, il est crucial de s'assurer que toutes les données fournies par l'utilisateur sont correctement échappées, empêchant ainsi SQL attaques par injection. Bien que mysql_real_escape_string() soit couramment utilisé pour MySQL, il n'est pas disponible pour SQL Server.

Alternative pour les chaînes d'échappement : mssql_escape()

Contrairement à MySQL, SQL Server ne fournit pas de fonction dédiée pour chaîne qui s'échappe. Cependant, vous pouvez créer votre propre fonction :

function mssql_escape($data) {
    if (is_numeric($data)) {
        return $data;
    }
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

$escaped_value = mssql_escape($user_input);
Copier après la connexion

Cette fonction encode les données sous forme de chaîne d'octets hexadécimaux, garantissant que tous les caractères spéciaux sont échappés.

Alternative pour mysql_error() : mssql_get_last_message( )

Pour récupérer les messages d'erreur de SQL Server, utilisez mssql_get_last_message() :

$error_message = mssql_get_last_message();
Copier après la connexion

Cette fonction récupère le dernier message d'erreur généré par l'exécution d'une requête SQL Server.

Exemple d'utilisation

En combinant ces fonctions, vous pouvez insérer en toute sécurité entrée de l'utilisateur dans une table SQL Server :

$connection = mssql_connect(...);
$query = 'INSERT INTO sometable (somecolumn) VALUES (' . mssql_escape($user_input) . ')';
$result = mssql_query($query, $connection);

if (!$result) {
    $error_message = mssql_get_last_message(); // Retrieve error message
}
Copier après la connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal