位置: 编程技术 - 正文

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

编辑:rootadmin

推荐整理分享php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击,希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:,内容如对您有帮助,希望把文章链接给更多的朋友!

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法:

使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param()

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:

当输入name值为name=%bf%%or%sleep%.%%3d0%limit%%时,sql语句输出为:

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:

addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf来代替单引号,而addslashes只是将0xbf修改为0xbf5c,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

addslashes会自动给单引号,双引号增加,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数,给大家举个例子:

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

总结:

上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。

感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!

ThinkPHP 整合Bootstrap Ajax分页样式 ThinkPHPAjax分页代码publicfunctionindex(){$where=array();$name=I('name');if(!empty($name)){$where['name']=array('like','%'.(string)$name.'%');}$Role=M('Role');$count=$Role-where($where)-count();//

如何判断php mysqli扩展类是否开启 如何判断phpmysqli扩展类是否开启php判断mysqli扩展类是否开启,源码如下:php/*

php 反斜杠处理函数addslashes()和stripslashes()实例详解 php反斜杠处理函数addslashes():对输入字符串中的某些预定义字符前添加反斜杠,这样处理是为了数据库查询语句等的需要。这些预定义字符是:单引号('

标签: php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

本文链接地址:https://www.jiuchutong.com/biancheng/297070.html 转载请保留说明!

上一篇:利用PHP生成CSV文件简单示例(生成php文件)

下一篇:ThinkPHP 整合Bootstrap Ajax分页样式(thinkphp项目怎么部署)

  • 个体户是否属于免征纳税对象是什么意思
  • 财税2012年15号文件作废
  • 个体工商户营业执照需要什么材料
  • 港资企业定义
  • 异地工程预缴税有哪些流程
  • 应交税金进项税的会计分录
  • 个人代持股票的交易流程
  • 支付保险费发票怎么入账
  • 事业单位跨期发票的财务入账问题
  • 固定资产出租后还要折旧吗
  • 模具维修费用清单表格
  • 税务征收与管理
  • 增值税普通发票怎么开
  • 出售自建厂房的税率
  • 增值税普通发票需要交税吗
  • 建筑也增值税
  • 生物性资产是什么
  • 企业买断政策
  • 购买国外技术需要缴纳什么税
  • 如何修改鼠标指示灯颜色
  • 交割单会出错吗
  • 收到苗木发票怎么做账
  • 在mac上安装ios应用
  • 鸿蒙系统怎么隐藏应用图标
  • 职工报工伤后用人单位还有赔偿吗
  • php数组怎么定义
  • 定期定额纳税申报
  • 存货盘盈盘亏的账务处理
  • 预缴所得税会计分录咋做
  • 宇宙最强舅舅系统
  • 微信小程序授权管理在哪里
  • 日期选择器的()属性表示选择器的粒度
  • 兼职人员需要
  • 固定资产报废清理怎么做账务处理的
  • 小规模纳税人附加税会计分录
  • 个税申报漏报人怎么办
  • 帝国cms破解授权
  • 固定资产报废计入资产处置损益吗
  • 自收自支编制和全额拨款编制
  • 经营结余是指事业单位在本年度经营活动
  • 支付水费委托收款
  • 关于种植养殖的手抄报
  • 广告设计与制作专科就业前景
  • 发票复核人一定要填吗
  • 以前年度的费用发票怎么入账
  • 如何提取十位数
  • 工程施工的保险费的账务处理
  • 公益性捐赠支出计入什么科目
  • 预付账款可以开发票吗
  • 财政登记证取消了吗
  • 冲减坏账准备的金额怎么计算
  • 个体工商户建行贷款条件
  • mysql查询语句菜鸟教程
  • mysql高级功能
  • mysql如何实现多表查询
  • centos 安装源设置出错
  • win7与vista关系
  • winxp怎么自动开机
  • win7打开文件夹都是独立的窗口
  • win7更改磁盘分区
  • win8系统摄像头在哪里打开
  • linux命令行在哪
  • win10预览版21h2
  • [置顶]公主大人接下来是拷问时间31
  • ecmascript6入门
  • linux文件压缩和备份实验
  • NeHe OpenGL Lesson 9
  • js cookie用法
  • unity3d操作
  • javascript含义
  • shell脚本怎么写循环
  • linux的ftp命令
  • android:Background线程池和UiThread线程池
  • 总结网络io模型的特点
  • 国税怎么打印申报表
  • 收到unknown发来的短信
  • 个人年收入超过多少不能退税
  • 双休日可以拿房产证吗
  • 加计扣除的税收分类编码
  • 个人所得税计算扣除五险一金吗
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设