什么时候最推荐使用mysql_real_escape_string()
在处理用户输入并将其插入到MySQL数据库之前,使用mysql_real_escape_string()函数对输入进行转义是非常推荐的。这可以防止潜在的SQL注入攻击,从而保护应用程序的安全。
mysql_real_escape_string()函数用于将特殊字符(如引号、撇号等)转义,使其在插入到MySQL查询中时不会被误解释为查询的一部分。这是一种预防SQL注入攻击的有效方法,因为它可以确保用户输入在插入到查询中之前不会被解释为SQL代码。
在以下情况下,使用mysql_real_escape_string()是非常推荐的:
- 当用户输入的数据需要插入到MySQL数据库中时。
- 当用户输入的数据来自于不受信任的来源(如用户表单)时。
- 当用户输入的数据可能包含特殊字符或SQL关键字时。
虽然mysql_real_escape_string()是一个有效的预防SQL注入攻击的方法,但它仅适用于MySQL数据库。对于其他数据库,如PostgreSQL、SQLite等,可以使用相应的转义函数。此外,还可以考虑使用预处理语句(prepared statements)作为更安全的替代方案。
推荐的腾讯云相关产品:
这些产品都可以提供安全可靠的数据库服务,并且可以与腾讯云的其他产品和服务无缝集成。
相关·内容
什么时候应该使用mysql_real_escape_string?
是否只有在向数据库中插入行时才会出现这种情况?或者仅当我有用户输入时?
谢谢
浏览 4提问于2011-03-12得票数 4
回答已采纳
我收到以下错误,字段列表中的列'id‘不明确。如何从该语句中唯一地获取正确的ID
function data () {
if($at = mysql_real_escape_string(@$_GET['id'])){$at = mysql_real_escape_string(@$_GET['id']);
$arg = func_get_args();
unset($arg[0]);
$fields = '`'.implode('`,`', $arg).'`';
$query = mysql_query
浏览 1提问于2012-07-29得票数 0
什么时候是使用mysql_real_escape_string的正确时机?
我应该在使用isset(mysql_escape_string($_GET‘’param‘))时使用它吗?
当我使用$foo =mysql_real_escape_string($_GET‘’bar‘)时,我应该使用它吗?
谢谢
浏览 2提问于2011-06-05得票数 1
回答已采纳
在我的includes文件夹中,我有一个函数...
function storelistingUno() {
$itemnum=mysql_real_escape_string($_POST['itemnum']);
$msrp=mysql_real_escape_string($_POST['msrp']);
$edprice=mysql_real_escape_string($_POST['edprice']); //This value has to be the same as in the HTML form file
$itemty
浏览 0提问于2009-06-04得票数 0
回答已采纳
我目前正在努力制作我的站点注入证明,并想知道我正在进行的验证,我的代码如下:
if(!empty($_POST['city']) && !empty($_POST['street'])){
$city = htmlentities(mysql_real_escape_string($_POST['city']));
$street = htmlentities(mysql_real_escape_string($_POST['street']));
}
我的问题是,空支票本身不是一个漏洞吗?我的意思是
浏览 4提问于2013-07-26得票数 2
我正在处理一个在MySQL中使用MySQL的项目,我不知道什么时候应该使用tep_db_input()还是tep_db_prepare_input()。我假设我应该在插入/更新的任何字符串周围使用tep_db_input(),但是什么时候应该使用其他函数呢?
例如,如果我要从数据库中选择一些数据,然后使用结果将一行插入到另一个表中,那么是否需要在某个时候准备输入?还是再次使用tep_db_input?
$width = '3"'; // 3 inches
$new_height = '3\' 5"'; // 3 feet 5 inches
浏览 4提问于2013-05-16得票数 9
2回答
注册安全性PHP
、、、、
因此,我一直在尝试制作安全的PHP登录/注册脚本,到目前为止,我没有任何类型的密码加密,我有以下内容:
if($_POST)
{
function GenericError()
{
echo '<script type="text/javascript">window.location.href="error.php"</script>';
}
function CheckEmpty($param)
{
if($param == "" || $param == null)
echo '&
浏览 0提问于2011-08-02得票数 0
回答已采纳
我正在用php创建一个联系人表单。当我填写所有的东西,并按提交,它是不发送任何消息到特定的电子邮件地址。它显示了几条错误消息。
错误消息:
Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Can't connect
to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) in /homez.91
/maaks/www/hotel/eng/resellers.php on line 93
浏览 1提问于2012-11-02得票数 1
回答已采纳
在运行下面的代码时,它会给我造成一个错误,例如
致命错误:不能在第24行的/home/site/public_html/administrator/blog_manage.php中使用写上下文中的函数返回值
第24行是list函数
if($manage=="add_blog")
{
$titile=mysql_real_escape_string($_POST['titile']);
$news=mysql_real_escape_string($_POST['news']);
浏览 1提问于2017-05-31得票数 0
回答已采纳
可能重复:
嗨,我很困惑什么时候该使用加号,什么时候使用Hi实体。
请您告诉我一个例子,在哪里我应该使用加号,什么时候使用tell实体。
浏览 1提问于2011-05-04得票数 3
回答已采纳
我的函数是这样的
function all_products($where, $condition, $where2, $condition2) {
$query = "SELECT *
FROM `product`
WHERE
".mysql_real_escape_string($where)." = '".mysql_real_escape_string($condition)."'
and
浏览 0提问于2014-01-24得票数 0
在我网站的每个页面上,我都会在运行任何东西之前运行sanitize类。我非常确定地址斜杠和使用mysql_real_escape_string进行转义是一样的,这是类。
class sanatize
{
private static $singleton;
function __construct(){
$_CLEAN_POST = array();
$_CLEAN_GET = array();
$_CLEAN_REQUEST = array();
foreach($_REQUEST as $key => $value)
{
浏览 1提问于2010-11-10得票数 0
回答已采纳
4回答
我有以下select语句:
$res = mysql_query("select * from Table where Name='{$_REQUEST['name']}'");
但是,由于这种查询易于SQL注入,因此我使用一种更安全的方式进行选择:
$escaped_name=mysql_real_escape_string($_REQUEST['name']);
$res = mysql_query("select * from Table where Name='{$escaped_name}'
浏览 8提问于2010-11-09得票数 1
回答已采纳
3回答
我知道这个问题已经被问了一百万次了,但是今天(2013)在SQL语句中运行变量之前验证查询字符串的标准是什么?
例如,如果我通过$_GET'id‘从url接收到一个变量"id“
$id = $_GET['id'];
...what在运行之前应该执行以下操作:
SELECT * FROM users WHERE id="$id"
这就足够了吗:
$id = mysql_real_escape_string($_GET['id']);
..。对于这个特定的例子?
浏览 0提问于2013-04-16得票数 0
回答已采纳
我想根据另一个表中的值更新另一个表。如果不存在记录,则作为新记录插入。此代码将正确更新,但不会在记录不存在的位置插入。
$results_google = mysql_query("upadate google set
Description = '".mysql_real_escape_string(trim(addslashes(strip_tags($row_first['product_description']))))."',
Manufacturer = '".$
浏览 4提问于2011-03-30得票数 0
回答已采纳
1回答
我使用来测试我的代码是否存在SQL注入威胁。这是其中一个已经出现的:
Userinput reaches sensitive sink due to insecure usage of mysql_real_escape_string() without quotes (Blind exploitation)
370: mysql_query mysql_query("INSERT INTO `members` (`Username`, `Password`, `Name`, `AccessLevel`, `LastLogin`) VALUES ('" . my
浏览 4提问于2013-10-01得票数 2
回答已采纳
我正在尝试测试一个简单的类项目用户帐户注册页面,并且我正在尝试创建一个检查,如果用户的电子邮件已经在数据库中,并因此不会再将它们添加到数据库中,则该检查将通知用户。这是我的PHP代码。
<?php
$collegeid = mysql_real_escape_string('1');
$email = mysql_real_escape_string('abc@test.com');
$password = mysql_real_escape_string(md5('test1'));
$name = mysql_real_esca
浏览 1提问于2015-04-20得票数 0
1回答
如果有人能帮上忙的话,我会很感激的,我已经搜索过这里和谷歌,找不到哪里出了问题,我该怎么说呢?这是密码。
<?php if (isset($_POST['submitbulk'])) {
if (is_uploaded_file($_FILES['filename']['tmp_name'])) {
echo "<h2>Orders Updated:</h2>";
readfile($_FILES['filename']['tmp_name']);
}
浏览 2提问于2014-04-23得票数 0
回答已采纳
2回答
嘿..。我有点依赖PHP代码将数据插入到多个SQL表中。我无法在一个操作中将数据放入两个表中.这是为注册页面创建用户登录和开始公司配置文件。如有任何建议,将不胜感激。谢谢
<?php
session_start();
if(isset($_SESSION['user'])!="")
{
header("Location: home.php");
}
include_once 'resources/php/dbconnect.php';
if(isset($_POST['btn-signup
浏览 6提问于2016-05-19得票数 0
回答已采纳
1回答
我有一个非常简单的表单,它将数据发送到另一个页面,然后在将数据插入数据库之前检查它是否存在。在本地环境中,它在MAMP中工作得很好,但是在服务器上它不会插入任何数据。它似乎没有发送任何数据,因为当我删除isset检查时,它运行程序,但将空白字段插入到数据库中。
我不明白它为什么行不通。安全不是问题。
HTML
<form method="post" action="input.php">
<tbody>
<tr>
<td>Nombre</td>
<td>&
浏览 0提问于2013-10-11得票数 0
回答已采纳
1回答
当我在php中使用PDO时,我有点困惑,什么时候该走很长的路,使用准备和绑定。
在下面的代码中,我应该使用prepare吗?如果我使用这段代码,$name会被转义吗,或者我需要使用mysql_real_escape_string吗?
$stmt = $db->query("UPDATE matches SET playerStatus = 4 WHERE name='$name' ");
谢谢
浏览 6提问于2012-05-08得票数 1
回答已采纳
2回答
我的错误是
更新时出错: SQL语法出现错误;请检查与MySQL服务器版本对应的手册,以便在第1行使用接近“1”的正确语法。
请记下没有刺错,没有印错,我检查了每一点。更新查询导致了该错误。我试了很多次,但没有解决。提前谢谢。
<?php
include('db.php');
session_start();
if(isset($_POST['update']))
{
$fname = mysql_real_escape_string($_POST['fname'], $con1);
$ln
浏览 4提问于2015-11-20得票数 0
回答已采纳
我在网上读到,关闭魔术引号是很多转义字符被添加到数据库中的简单答案,比如:
电子邮件:href=“\\”\“”\
因此,我使用htaccess关闭魔术引号:php_flag magic_quotes_gpc Off
问题是它完全破坏了我的网页,div被合并了,事情完全崩溃了。
我知道在这个论坛上问了很多人,但我不能正确的语法,这是我在我的save.php中使用的
<?php
include("db.php");
$content1 = $_POST['content1']; //get posted data
$content1 =
浏览 12提问于2013-07-24得票数 0
回答已采纳
我一直在做一个php站点,在我的本地机器上开发。这真的是个新手所以这是我第一次尝试当我移动到我的主机时,我得到了以下错误:
Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'matthew'@'localhost' (using password: NO) on line 11
我在这里搜索了相当多,我非常确定这是因为我需要“准备”我的查询。我不确定的是什么时候准备是正确的,什么时候不是。我在
浏览 1提问于2012-10-24得票数 2
1回答
我有一个表,看起来像这样:
survey_id | question_id | option_one | option_two| ... option_ten|
1 | 1 | Yes | No | ... |
1 | 2 | True | False | ... |
这是我的代码,用于在更新表之前将编辑后的选项保存到一个二维数组中:
$store = array();
$num = 0;
forea
浏览 0提问于2013-06-13得票数 0
回答已采纳
我有一个查询,它显示了一些正在出售的建筑物,用户可以在那里选择"plaats“(区域)和slaapkamers (卧室的数量)。这些变量存储在变量中,此查询工作:
$p = $_POST['plaats'];
$s = $_POST['slaapkamers'];
$sSql = "select * from tblpand WHERE PandPostcodeGemeente='". mysql_real_escape_string( $p ) ."' AND PandSlaapkamers='"
浏览 5提问于2015-07-19得票数 0
回答已采纳
1回答
当您使用Doctrine编写原生SQL语句时,您应该如何转义输入?根据我的经验,mysql_real_escape_string不能工作。
浏览 3提问于2010-12-07得票数 3
回答已采纳
我得到了这个错误,我尝试了这个网站上的所有论坛,但仍然不理解。
警告: mysql_real_escape_string()要求参数%2为资源,第25行的/home/canwechi/public_html/submit.php中给出的值为null %0
下面是我的代码:
<?php
define('INCLUDE_CHECK',1);
require "functions.php";
include "includes/vars.inc.php";
if(ini_get('magic_quotes_gpc'))
浏览 0提问于2014-04-21得票数 0
我正在我的网站上运行PHP5.4.44版本,并试图让我们使用mysql_real_escape_string,但是它并没有给我任何东西。mysql_real_escape_string在本地mysql_real_escape_strin代码中运行得很好。
<?php
echo 'What is Your Name='.mysql_real_escape_string("my name is ");
?>
It输出
你的Name=是什么?
浏览 7提问于2015-10-30得票数 2
3回答
我试图将CSV文件插入到MySql中,但我得到了一个错误。
警告: mysql_real_escape_string()希望参数1是字符串,
我的数据库表是:
:s_no :name :id :
:1 :Lim :678 :
:2 :Mary :623 :
:3 :Mimi :4124 :
编号是AUTO_INCREMENT,我只想要名称和ID。
<?php
$connect = mysql_connect("localhost","root","",&
浏览 2提问于2016-12-08得票数 1
4回答
我正在使用一些高级mysql查询从数据库中搜索一些数据。但是当我将WHERE developer LIKE %Lanterra%添加到查询中时,它将无法工作。
工作查询。
$query = sprintf("SELECT *, ( 3959 * acos( cos( radians('%s') ) * cos( radians( latitude ) ) * cos( radians( longitude ) - radians('%s') ) + sin( radians('%s') ) * sin( radians( latitude
浏览 6提问于2015-03-02得票数 2
回答已采纳
1回答
防止数据库攻击
、、
是否仍然需要使用get_magic_quotes_gpc来防止数据库攻击?如果启用了魔术引号,我想去掉多余的斜杠。
if(get_magic_quotes_gpc()){
If magic quotes is enabled, strip the extra slashes
array_walk_recursive($_GET,create_function('&$v,$k','$v = stripslashes($v);'));
array_walk_recursive($_POST,create_function('&
浏览 2提问于2012-10-06得票数 0
回答已采纳
4回答
注册脚本提示
、、
Register.php
if (isset($_POST['submit'])) {
$username = mysql_real_escape_string(trim($_POST['username']));
$email = mysql_real_escape_string(trim($_POST['email']));
$passwd = mysql_real_escape_string(trim($_POST['passwd']));
if (empty($username)) {
die ('
浏览 0提问于2009-07-31得票数 2
我刚刚了解到mysql_real_escape_string对于避免MySQL注入的重要性。所以我用php在我的注册表中使用了这个。这就是我得到的
$password_string = mysql_real_escape_string($_POST['PASSWORD']);
$username = mysql_real_escape_string($_POST['USERNAME']);
$fname = mysql_real_escape_string($_POST['FNAME']);
$mname = mysql_real_escape_
浏览 0提问于2015-07-09得票数 1
我只是浏览了一些代码,并确保所有用户输入都是通过mysql_real_escape_string()进行的,以防止sql注入。对于通过PHP的md5()函数运行的密码输入,是否仍然需要mysql_real_escape_string(0 )?似乎编码过程将消除潜在的注入攻击。
浏览 3提问于2011-08-03得票数 1
3回答
我正在使用以下代码行,以保护注入等通过PHP脚本登录。请让我知道,这是足够安全的攻击,或我必须增加一些行,以使代码更安全。
// To protect MySQL injection (more detail about MySQL injection)
$username = stripslashes($username);
$password = stripslashes($password);
$username = mysql_real_escape_string($username);
$password = mysql_real_escape_string($password);
浏览 2提问于2013-11-22得票数 2
回答已采纳
1回答
好吧,我最近购买了一个名为WPArcade的wordpress插件,但是,我遇到了一些问题。特别是,我不能让我的游戏像他们想要的那样进食。当我尝试从Kongregate输入游戏时,它显示找到0个游戏,但同时也显示以下错误:
警告:第113行为C:\Program Files (x86)\Ampps\www\wp\wp-content\plugins\wparcade-plugin\feeds\kongregate\kongregate.php中的foreach()提供的参数无效
我在一个本地服务器上测试这个站点,这就是为什么它在C驱动器中。
Kongregates提要:
插件中的每个发布者都会
浏览 1提问于2015-04-05得票数 0
3回答
我目前正在为一个服务开发一个API,我想知道这是否可以被归类为足够安全,以防止对数据库的注入和/或其他恶意攻击。
$username = mysql_real_escape_string(ereg_replace("[^A-Za-z0-9]", "", $_REQUEST['username']));
$password = mysql_real_escape_string(ereg_replace("[^A-Za-z0-9]", "", $_REQUEST['password']));
它所做的是
浏览 2提问于2011-10-18得票数 1
回答已采纳
1回答
我正在寻找一个好的解决方案来防止mysql注入和xss攻击。我读了很多科目,但对我来说不太清楚。
我只想允许一些BB码,比如b,i,u,仅此而已。
你能告诉我这是不是可以:
<?php
$escape = array('input_one','input_two','get_ids_from_url','etc');
foreach($escape as $input)
{
if(isset($_POST[$input]))
{$_POST[$input] = mysql_real_escape_stri
浏览 2提问于2012-08-31得票数 0
下面的脚本不起作用。当我在我的网站上输入所有字段时,它仍然说“所有字段都是必需的”。我从这个网站的脚本中修改了一下:。你必须注册才能下载它,但一旦你下载了,点击脚本,然后PHP,然后转到登录和注册并下载脚本。下面是我的脚本版本:
<?php
if(isset($_POST['submit']))
{
$name = mysql_real_escape_string($_POST['name']);
$username = mysql_real_escape_string($_POST['username']);
$
浏览 3提问于2016-02-27得票数 1
回答已采纳
我正在将数据ajax到Wordpress数据库中,并在成功的情况下将写入数据库的文本显示在div中,以便人们可以看到所写的内容
我的代码如下所示:
$.ajax({
type: "POST",
url: "<?php echo get_bloginfo('template_url').'/insert_comment.php';?>",
data: dataString,
cache: false,
success: function(html){
浏览 0提问于2012-01-16得票数 1
回答已采纳
1回答
这段代码运行良好,但我的问题是,当我使用php提交(大小)行数据时,这个php代码是自动乘并在phpmyadmin中提交的,比如350000。
例如,我提交了一个表单,(大小)行数据是
480×800像素,4.3英寸(~217 ppi像素密度)传感器:加速度计,接近
当我检查phpmyadmin (大小)行时,它是自动乘的,并提交(大小)行数据,如下所示
350000
我怎样才能解决这个问题请帮我解决这个问题
谢谢
这是php mysql表单数据提交代码。
<?php
/*
NEW.PHP
Allows user to create a ne
浏览 1提问于2014-10-11得票数 0
3回答
在使用下面给出的PHP代码编辑特定记录时,数据库中的所有记录都会同时被编辑成一些垃圾值。这里的"db“是数据库。我对PHP和SQL很陌生。请帮帮忙
<?php
/*
EDIT.PHP
Allows user to edit specific entry in database
*/
// creates the edit record form
// since this form is used multiple times in this file, I have made it a function that is easily reusable
functi
浏览 4提问于2016-06-20得票数 0
回答已采纳
2回答
im在php和sql中是新的,它试图选择一个用户名并计算他的总列名并显示它。我有点搞不懂怎么做。帮帮我伙计们。非常感谢。
<?php
if( isset($_POST['query']) ){
$query = $_POST['query'];
$raw_results = mysql_query(
"SELECT *
FROM inventory
WHERE
(`serialproductkey` LIKE '%".$query."%') OR
(
浏览 3提问于2014-07-12得票数 1
2回答
我需要一点帮助,我有一个更新查询没有更新我的数据库中的记录。也许这是我错过的一个小错误,也许我忽略了一些新的眼睛可能会更容易发现。
<?php
$message = '<h4 class="alert_success">A Successfully updated '.$_POST['sell_itemBrand'].' '.$_POST['txtModel'].' - '.$_POST['sell_itemType'].'</h4>'
浏览 3提问于2014-07-30得票数 0
回答已采纳
7回答
我有这样的代码:
$query = "select id from votes where username = '$user' and article_id = $this->id";
我尝试了下面的代码来清理它:
$query = sprintf("select id from votes where username = '$user' and article_id = $this->id",
mysql_real_escape_string($user),
mysql_real_escap
浏览 0提问于2009-06-05得票数 0
回答已采纳
关于最近的季度更新,xorg/mesa/libva等等,他们是否会变得特立独行,这可能在什么时候发生。
浏览 0提问于2011-01-18得票数 1
回答已采纳
这是我的代码
当我试图运行编码时,我会得到两个错误
警告: mysql_real_escape_string()希望参数2是资源,在第9行的/home/a5008269/public_html/Login.php中为null
PHP错误消息
警告: mysql_real_escape_string()期望参数2是资源,在第10行的/home/a5008269/public_html/Login.php中为null
由于某种原因,我收到了第9行和第10行的2个警告。
请帮帮我
<?php
require_once('connector.php');
$err
浏览 3提问于2013-12-27得票数 1
我想要些奇怪的东西。如果有人打开index.php页面,$select必须是full。但是如果有人打开index.php?var=4 page,$select肯定是其他的,带有var from _GET。
我现在有了这段代码,但只有在?var=3 exists的情况下它才能工作。
我遗漏了什么?
foreach($_GET as $name=>$value)
{
if($name == 'lvl') {
$value = mysql_real_escape_string($_GET[lvl]);
$select = mysql_qu
浏览 0提问于2013-01-13得票数 0
回答已采纳
1回答
为什么我的登录代码不区分大小写?
我的桌子“会员”
_________________________
|__username__|__password__|
|____mango___|___123456___|
我试着用
1. username = mango and password = 123456 , it's echo "true"
2. username = MANGO and password = 123456 , it's echo "true"
3. username = Mango and password = 1234
浏览 5提问于2014-01-27得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
