首頁 > 後端開發 > php教程 > addslashes()用途與php怎樣防止mysql注入?

addslashes()用途與php怎樣防止mysql注入?

WBOY
發布: 2016-08-04 09:21:11
原創
1457 人瀏覽過

1.表單資料
addslashes()用途與php怎樣防止mysql注入?
顯示的是表單的資料

2.php的抓取的表單資料
addslashes()用途與php怎樣防止mysql注入?
已經自動加了

3.mysql資料 (最下面一行)
addslashes()用途與php怎樣防止mysql注入?
寫到mysql中居然沒有

4.懷疑是被mysql軟體隱藏掉了,進命令列看看:
addslashes()用途與php怎樣防止mysql注入?
也沒看到

依照官方的說法
http://www.php.net/manual/zh/function.addslashes.php

一個使用 addslashes() 的範例是當你要往資料庫輸入資料時。 例如,將名字 O'reilly 插入到資料庫中,這就需要對其進行轉義。 強烈建議使用 DBMS 指定的轉義函數 (例如 MySQL 是 mysqli_real_escape_string(),PostgreSQL 是 pg_escape_string()),但如果你使用的 DBMS 沒有一個轉義函數,並且使用 來轉義特殊字元,你可以使用這個函數。 只是為了獲取插入資料庫的數據,額外的 並不會插入。 當 PHP 指令 magic_quotes_sybase 被設定成 on 時,表示插入 ' 時將使用 ' 進行轉義。

問題:
1.addsleshes()函數在起到防止注入的作用時,是怎樣一種機制?
2.stripslashes()在什麼情況下使用?
3.對表單提交過來的資料直接用htmlspecialchars( )轉義處理並存入資料庫,是不是更好?
4.好是的防止sql注入的方式是怎樣的?

.

回覆內容:

1.表單資料
addslashes()用途與php怎樣防止mysql注入?
顯示的是表單的資料

2.php的抓取的表單資料
addslashes()用途與php怎樣防止mysql注入?
已經自動加了

3.mysql資料 (最下面一行)
addslashes()用途與php怎樣防止mysql注入?
寫到mysql中居然沒有

4.懷疑是被mysql軟體隱藏掉了,進命令列看看:
addslashes()用途與php怎樣防止mysql注入?
也沒看到

依照官方的說法
http://www.php.net/manual/zh/function.addslashes.php

一個使用 addslashes() 的範例是當你要往資料庫輸入資料時。 例如,將名字 O'reilly 插入到資料庫中,這就需要對其進行轉義。 強烈建議使用 DBMS 指定的轉義函數 (例如 MySQL 是 mysqli_real_escape_string(),PostgreSQL 是 pg_escape_string()),但如果你使用的 DBMS 沒有一個轉義函數,並且使用 來轉義特殊字元,你可以使用這個函數。 只是為了獲取插入資料庫的數據,額外的 並不會插入。 當 PHP 指令 magic_quotes_sybase 被設定成 on 時,表示插入 ' 時將使用 ' 進行轉義。

問題:
1.addsleshes()函數在起到防止注入的作用時,是怎樣一種機制?
2.stripslashes()在什麼情況下使用?
3.對表單提交過來的資料直接用htmlspecialchars( )轉義處理並存入資料庫,是不是更好?
4.好是的防止sql注入的方式是怎樣的?

.

如文檔上寫的呀,addslashes就是為參數的引號前加了個斜杠。
也如你所印製的數據,參數前也有斜線。
但是資料庫裡就不應該有斜槓呀!
addslashes是如何防注入的,就是防止在我們寫SQL時直接套用輸入參數而導致產生可被注入的SQL來防注入的。
例如$sql = "SELECT * FROM user WHERE id = '$id'";,如果這裡的$id參數被人故意操作成了1' OR '1 = 1',那不就成了注入SQL了嗎?
而如果用addslashes加上斜杠,$id中的引號就會被轉意,也就不會產生錯誤的SQL。但這些結果都不會影響到資料寫入,因為當真正插入和更新資料時,這些斜槓又會被轉意回來的。

防禦SQL注入(輸入資料庫):
PDO bindParam 或mysqli_stmt_bind_param: 避免SQL注入.
addslashes: 用反斜杠轉義所有的單引號,雙引號,反斜杠和NUL's,一定程度上避免注入.
SQL.
SQL mysqli_real_escape_string: 轉義SQL語句中的特殊字元.
有了bind_param,就不需要使用addslashes,mysqli_real_escape_string,magic_quotes_gpc這些功能了.

例如:🎜
<code>PDO MySQL:
//方法1(问号占位符)
$stmt = $db->prepare('UPDATE posts SET post_title = ?, post_content = ? WHERE id = ?');
$stmt->execute(array($title,$content,$id)); //所有值视作PDO::PARAM_STR处理

//方法2(命名占位符)
$stmt = $db->prepare('UPDATE posts SET post_title = :title, post_content = :content WHERE id = :id');
$stmt->execute(array(':title' => $title,':content' => $content,':id' => $id)); //所有值视作PDO::PARAM_STR处理

//方法3
$stmt = $db->prepare('UPDATE posts SET post_title = ?, post_content = ? WHERE id = ?');
$stmt->bindParam(1, $title,   PDO::PARAM_STR);
$stmt->bindParam(2, $content, PDO::PARAM_STR);
$stmt->bindParam(3, $id,      PDO::PARAM_INT);
$stmt->execute();

//方法4
$stmt = $db->prepare('UPDATE posts SET post_title = :title, post_content = :content WHERE id = :id');
$stmt->bindParam(':title',   $title,   PDO::PARAM_STR);
$stmt->bindParam(':content', $content, PDO::PARAM_STR);
$stmt->bindParam(':id',      $id,      PDO::PARAM_INT);
$stmt->execute();

MySQLi:
//MySQLi只需执行一次bind_param,要比PDO简洁一些,MySQLi不支持命名占位符.
$stmt->bind_param('ssi', $title, $content, $id);</code>
登入後複製

你說的htmlspecialchars是在輸出HTML時防禦XSS攻擊的,區別於上面說的防禦SQL注入.

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板