位置: 编程技术 - 正文

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

编辑:rootadmin

推荐整理分享php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击,希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:,内容如对您有帮助,希望把文章链接给更多的朋友!

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

php防止SQL注入攻击一般有三种方法:

使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param()

本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。

mysql_real_escape_string防sql注入攻击

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:

当输入name值为name=%bf%%or%sleep%.%%3d0%limit%%时,sql语句输出为:

这时候引发SQL注入攻击。

下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:

addslashes防sql注入攻击

国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf来代替单引号,而addslashes只是将0xbf修改为0xbf5c,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。

php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

addslashes会自动给单引号,双引号增加,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:

mysql bind_param()绑定参数防止SQL注入攻击

什么叫绑定参数,给大家举个例子:

你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.

下面我简单的写一下这个函数:

注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可

通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..

我们来做一个实验:

可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况

可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.

总结:

上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。

感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!

ThinkPHP 整合Bootstrap Ajax分页样式 ThinkPHPAjax分页代码publicfunctionindex(){$where=array();$name=I('name');if(!empty($name)){$where['name']=array('like','%'.(string)$name.'%');}$Role=M('Role');$count=$Role-where($where)-count();//

如何判断php mysqli扩展类是否开启 如何判断phpmysqli扩展类是否开启php判断mysqli扩展类是否开启,源码如下:php/*

php 反斜杠处理函数addslashes()和stripslashes()实例详解 php反斜杠处理函数addslashes():对输入字符串中的某些预定义字符前添加反斜杠,这样处理是为了数据库查询语句等的需要。这些预定义字符是:单引号('

标签: php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击

本文链接地址:https://www.jiuchutong.com/biancheng/297070.html 转载请保留说明!

上一篇:利用PHP生成CSV文件简单示例(生成php文件)

下一篇:ThinkPHP 整合Bootstrap Ajax分页样式(thinkphp项目怎么部署)

  • 报个税时显示扣缴单位无有效的税费种认定信息
  • 什么是非居民纳税人类别
  • 非居民纳税人是小规模纳税人
  • 国际税收协定是怎样避税的
  • 社保缴费是当月扣当月的吗
  • 全年交多少税可以退
  • 季度预交所得税可以弥补上年度亏损吗
  • 运输企业印花税按什么缴纳
  • 会计政策变更与会计估计的审计
  • 非上市公司自然股权转让
  • 备发职工工资属于什么会计科目
  • 小规模纳税人附加税税率各是多少
  • 商品房房产税征收标准
  • 公司用窗帘用什么颜色
  • 资产置换会计处理办法
  • 补充养老保险费可以扣除吗
  • 小规模开3%专票可享受减免
  • 所得税申报表本期金额上期金额指什么
  • 公司加农户经营模式
  • 周转房维修请示
  • win11 应用商店
  • 固定资产折旧计提时间
  • 出租设备收取租金合法吗
  • 成本法转为权益法追溯的理解
  • 存货包括哪些会计账户
  • 呆账损失是什么意思
  • 逾期未收回包装物押金的实务处理
  • 跨境电商需要缴纳哪些税种
  • 加油费属于什么费用类别的
  • 民办非盈利组织税收政策
  • 小规模纳税人工程税率是多少
  • 盈余公积转增会计分录
  • 购进免税农产品进项税额计算
  • 上年所得税费用借方有余额,怎么调整
  • FPGA实现64点IFFT(VHDL)
  • 企业租赁厂房需要交什么税
  • 为什么费用报销先由主管部门审批在由财务审核
  • 公司广告费用咨询费都应当作为管理费用对还是错
  • 其他应收款是如何核算的
  • db2报42603
  • 保税仓库税收政策
  • 收到证券公司信息
  • 经营活动现金流量净额是什么意思
  • 生产企业库存商品怎么做分录
  • 公司账户资金转个人账户
  • 固定资产税前一次性扣除会计处理与税务处理
  • 支付给个人的佣金没有发票
  • 分月摊销怎么处理
  • 人力资源服务费是什么意思
  • 负担、支付所得的企业
  • 利润表中管理费用根据什么填
  • 工会经费计提比例0.8%和2%有何区别
  • 暂估收入怎么做分录
  • sqlserver备份数据库命令
  • mysql alter table修改表命令整理
  • sqlserver分页查询sql
  • mysql缓冲区
  • 开始菜单里设置在哪里
  • Fedora Core 5.0 安装教程,菜鸟图文版(图文界面)
  • brasil.exe是什么进程
  • 怎么用macbook
  • Radio.exe - Radio是什么进程 有什么用
  • Remind_XP.exe - Remind_XP是什么进程 有什么用
  • c:windowssys:em32mtgyu.dll 内存分配访问无效的解决办法
  • linux shell 函数参数
  • vue实现分页功能
  • 常见的shell脚本
  • python socket传输文字到网页
  • unity3d初学者教程视频
  • unity接收数据
  • javascript例题
  • jquery点击方法
  • python怎么用
  • jquery的实现原理
  • python编程输出汉字
  • 新道云软件介绍
  • 北京大兴区地税局电话
  • 西宁市房屋维修基金收费标准2021
  • 土地增值税有哪些税收优惠
  • 加工中心钻孔进给
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设