开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

mysql_real_escape_string VS addslashes

mysql_real_escape_string和addslashes都是用于处理字符串中的特殊字符，以防止SQL注入攻击。它们在处理方式上有一些差异。

mysql_real_escape_string：
- 概念：mysql_real_escape_string是MySQL提供的一个函数，用于对字符串中的特殊字符进行转义，以防止SQL注入攻击。
- 分类：这是一个数据库相关的函数，用于处理数据库查询中的字符串。
- 优势：mysql_real_escape_string会根据当前连接的字符集来处理特殊字符，确保转义后的字符串在数据库中是安全的。
- 应用场景：适用于需要将用户输入的字符串作为查询条件或插入数据库的值时，特别是在使用纯文本SQL语句构建查询时。
- 推荐的腾讯云相关产品：腾讯云数据库MySQL，详情请参考：腾讯云数据库MySQL
addslashes：
- 概念：addslashes是PHP提供的一个函数，用于对字符串中的特殊字符进行转义，以防止SQL注入攻击。
- 分类：这是一个PHP相关的函数，用于处理字符串。
- 优势：addslashes会简单地在特殊字符前添加反斜杠，但不考虑当前字符集，因此在某些情况下可能不够安全。
- 应用场景：适用于需要对字符串进行简单转义，但不涉及数据库查询的情况，例如在拼接SQL语句之前对用户输入进行处理。
- 推荐的腾讯云相关产品：腾讯云云服务器，详情请参考：腾讯云云服务器

总结：

mysql_real_escape_string和addslashes都是用于防止SQL注入攻击的工具，但mysql_real_escape_string更加安全和可靠，因为它会根据当前字符集进行转义处理。在处理数据库查询时，推荐使用mysql_real_escape_string。而addslashes适用于一般字符串处理，但在涉及数据库查询时，不建议使用。腾讯云提供了腾讯云数据库MySQL和腾讯云云服务器等相关产品，可满足云计算领域的需求。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

addslashes注入漏洞与mb_addslashes

由于addslashes无视目标字符串的编码，直接按照二进制字节对字符串添加下划线，会导致很多注入隐患。比如说gbk环境下，有一个宽字符是"\xbf\x27"。...传统的addslashes函数会直接无视掉"\xbf"而直接对后面的"\x27"加下划线，结果变成了"\xbf\x5c\x27"。这样前面两个字节构成宽字符，后面的"\x27"就会单独被解析。...比如下面这个： function mb_addslashes($str, $enco) { $retstr = ""; $len = mb_strlen($str, $enco); for(

7262 0

addslashes和stripslashes函数

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。预定义字符是：单引号（’）双引号（”）反斜杠（\） NULL echo "Who's Bill Gates?..."; echo addslashes("Who's Bill Gates?") 结果： Who's Bill Gates? Who\'s Bill Gates?...注：默认地，PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 addslashes()，因为这样会导致双层转义。

7223 0

DVWA系列之3 medium级别SQL

可以发现，这里对用户输入的id参数进行了过滤，主要方法是使用了mysql_real_escape_string()函数，这个函数可以将$id变量中的单引号’、双引号”、斜杠\等字符进行转义，因而我们再输入之前的...需要说明的是，在PHP中还有一个与mysql_real_escape_string()功能类似的函数：addslashes（），这两个函数的功能都是对特殊字符进行转义，那么到底用哪个函数更好一些呢？...有人说mysql_real_escape_string()函数需要事先连接数据库，可能会报错，所以推荐使用addslashes()；也有的人说addslashes()过滤不够严格，推荐使用mysql_real_escape_string...在DVWA中很明显是推荐使用mysql_real_escape_string()，那么我们就相信DVWA好了。下面我们分析一下这里该如何绕过过滤，继续进行注入呢？

4432 0

php宽字节注入,宽字节注入详解

前言在mysql中，用于转义的函数有addslashes，mysql_real_escape_string，mysql_escape_string等，还有一种情况是magic_quote_gpc...(_GET[‘sql’]); //mysql_real_escape_string() magic_quote_gpc=On addslashes() mysql_escape_string()功能类似...(_GET[‘sql’]);//mysql_real_escape_string() magic_quote_gpc=On addslashes() mysql_escape_string()功能类似...URL解码sql=rootß’ or 1=1# 解析过程： Default $_GET[‘sql’] 经过 addslashes编码之后带入了‘\’ 1、root%df%5C%27%20or%201=1%...同时配套的过滤函数为mysql_real_escape_string()。

3.5K1 0

PHP过滤表单字段

mysql_real_escape_string 转义SQL字符串中的特殊字符转义 /x00 /n /r 空格 / ' " /x1a，针对多字节字符处理很有效。...mysql_real_escape_string会判断字符集，mysql_escape_string则不用考虑。...kindedit编辑器：从post来的进行addslashes后就可存入数据库了，取出后直接echo即可普通的文本： 1.htmlspecialchars接着addslashes存入数据库...2.addslashes存入数据库，取出后htmlspecialchars输出。说明： addslashes仅仅是为了让原来的字符正确地进入数据库。...这些转义是必须的，如果这个选项为off，那么我们就必须调用addslashes这个函数来为字符串增加转义。

3K2 0

php addslashes() 函数

php $str = addslashes('ggg is the "dada" city in China.'); echo($str); ?...> addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。...单引号（’）双引号（"）反斜杠（\） NULL 可用于为存储在数据库中的字符串以及数据库查询语句准备字符串 GET、POST 和 COOKIE 数据自动运行 addslashes() 可以使用函数...get_magic_quotes_gpc() 进行检测 addslashes(string) 要转义的字符串运行实例 "; echo addslashes($str) . " This is safe in a database query."; ?> Who's Who\'s

1.5K3 0

8个与安全相关的PHP函数

1. mysql_real_escape_string() 这个函数对于在PHP中防止SQL注入攻击很有帮助，它对特殊的字符，像单引号和双引号，加上了“反斜杠”，确保用户的输入在用它去查询以前已经是安全的了...但现在mysql_real_escape_string()这个函数基本不用了，所有新的应用开发都应该使用像PDO这样的库对数据库进行操作，也就是说，我们可以使用现成的语句防止SQL注入攻击。...2. addslashes() 这个函数和上面的mysql_real_escape_string()很相似。...默认情况下， magic_quotes_gpc 为 on，对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。...不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes()，因为这样会导致双层转义。

88812 0

浅析白盒审计中的字符编码及SQL注入

那么怎么逃过addslashes的限制？众所周知addslashes函数产生的效果就是，让'变成\'，让引号变得不再是“单引号”，只是一撇而已。...0×03 mysql_real_escape_string解决问题？部分cms对宽字节注入有所了解，于是寻求解决方案。...于是，有的cms就把addslashes替换成mysql_real_escape_string，来抵御宽字符注入。...这个方式是可行的，但有部分老的cms，在多处使用addslashes来过滤字符串，我们不可能去一个一个把addslashes都修改成mysql_real_escape_string。...矫正人们对于mysql_real_escape_string的误解，单独调用set names gbk和mysql_real_escape_string是无法避免宽字符注入问题的。

8413 1

php操作mysql防止sql注入(合集)

本文将从sql注入风险说起，并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。...addslashes (PHP 4, PHP 5, PHP 7) addslashes — 使用反斜线引用字符串说明 ¶ addslashes ( string $str ) : string 返回字符串...范例 ¶ Example #1 一个 addslashes() 例子 <?...php 2. mysql_real_escape_string() (推荐指数4) 就用addslashes好了..暂时可以忘记掉mysql_real_escape_string了 (www.cnblogs.com...mysql_real_escape_string()防注入详解此方法在php5.5后不被建议使用，在php7中废除。

4.5K2 0

PHP addslashes()函数讲解

PHP addslashes() 函数实例在每个双引号（”）前添加反斜杠： <?php $str = addslashes('What does "yolo" mean?')...定义和用法 addslashes() 函数返回在预定义的字符前添加反斜杠的字符串。...注释：默认情况下，PHP 指令 magic_quotes_gpc 为 on，对所有的 GET、POST 和 COOKIE 数据自动运行addslashes()。...语法 addslashes( _string_ ) ? ? 实例 1 向字符串中的预定义字符添加反斜杠： <?php $str = "Who's Peter Griffin?"...<br "; echo addslashes($str) . " This is safe in a database query."; ?

4003 0

PHP 中的转义函数小结

0X01 addslashes() –>(PHP 4, PHP 5, PHP 7) 用法： string addslashes ( string $str ) 返回值：返回字符串，该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线...echo addslashes($str); ?...本函数和 mysql_real_escape_string() 完全一样，除了 mysql_real_escape_string() 接受的是一个连接句柄并根据当前字符集转移字符串之外。...mysql_real_escape_string() 调用mysql库的函数 mysql_real_escape_string, 在以下字符前添加反斜杠: \x00 \n \r \ ' " \x1a...在运行时调用转义函数（如 addslashes()）更有效率。

3.2K2 0

新手指南：DVWA-1.9全级别教程（完结篇，附实例）之XSS

mysql_real_escape_string(string,connection) 函数会对字符串中的特殊符号（\x00，\n，\r，\，‘，“，\x1a）进行转义。...$name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $message = strip_tags( addslashes...( $message ) ); $message = mysql_real_escape_string( $message ); $message = htmlspecialchars...addslashes() 函数返回在预定义字符（单引号、双引号、反斜杠、NULL）之前添加反斜杠的字符串。...$name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $message = strip_tags( addslashes

7.1K5 1

PHP常见函数和过滤函数的深入探究

，转义 &转成& "转成" '转成' //发现并不转义当htmlspecialchars($username) <转成< >转成> 注意 ‘ 不转义，此函数并不能防止SQL注入 ---- 0x03 addslashes.../不转换 ---- 0x04 mysql_real_escape_string() 转义SQL字符串中的特殊字符转义 \x00 \n \r 空格 \ ' " \x1a，针对多字节字符处理很有效。...mysql_real_escape_string会判断字符集，mysql_escape_string则不用考虑。...($id)); echo ""; //htmlspecialchars() var_dump(htmlspecialchars($username)); echo ""; //addslashes...() var_dump(addslashes($username)); echo ""; //mysql_real_escape_string() var_dump(mysql_real_escape_string

2.9K9 0

【作者投稿】宽字符注入详解与实战

具体分析一下原理：正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时，我们测试输入的'，就会被转义为\'; 若存在宽字节注入，输入%df%27时，经过单引号的转义变成了...SQL语句是SELECT * FROM news WHERE tid='{$id}'，根据文章的id把文章从news表中提取出来，在$sql之前，我们只用了限制函数addslashes函数，对$id进行转义...故只要低位的范围中含有0x5c的编码，就可以进行宽字节的注入利用mysql_real_escape_string解决问题一些cms把addslashes替换为mysql_real_escape_string...报错说明我们錦被iconv从utf-8转换成gbk后，变成了%e5%5c，而后面的'被addslashes变成了%5c%27，这样组合起来就是%e5%5c%5c%27，两个%5c就是\，正好把反斜杠转义了...矫正人们对于mysql_real_escape_string的误解，单独调用set name=gbk和mysql_real_escape_string是无法避免宽字符注入问题的。

1.5K0 0

bwapp之sql注入_sql注入语句入门

()函数对预定义字符进行了转义 : addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。...High 采用了mysql_real_escape_string()函数来防御 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。...Medium&High 分别用了addslashes()和mysql_real_escape_string()函数防御: 且在Medium中, mysql编码为utf-8, 无法用宽字节绕过, 安全。...title=Iron%' and 1=1 %23 也可以在sqli_10-1.php搜索框注入: Iron%' and 1=1 # Medium&High 分别用了addslashes()和mysql_real_escape_string...()和mysql_real_escape_string()函数防御, 且在mysql编码为utf-8, 无法用宽字节绕过, 安全。

8.3K3 0

CI（CodeIgniter）框架中URL特殊字符处理与SQL注入隐患分析

{ $str[$key] = escape_str($val, $like); } return $str; } if (function_exists('mysql_real_escape_string...')) { $str = addslashes($str); } elseif (function_exists('mysql_escape_string')) { $str...= mysql_escape_string($str); } else { $str = addslashes($str); } // escape LIKE condition

1.7K2 1

php 自带过滤和转义函数

addslashes 单双引号、反斜线及NULL加上反斜线转义被改的字符包括单引号 (‘)、双引号(“)、反斜线 backslash (\) 以及空字符NULL。...mysql_real_escape_string 转义SQL字符串中的特殊字符转义 \x00 \n \r 空格 \ ‘ ” \x1a，针对多字节字符处理很有效。...mysql_real_escape_string会判断字符集，mysql_escape_string则不用考虑。

1.3K3 0

宽字节注入与二次注入

id=5%20and%201=2%df%27%20and%201=2%23 我们提交的语句是 and 1=2 %df'and 1=1%23 原理 %df%27= >(addslashes)>%df%...character_set_client>根据character_set_connection转码>更新数据库时转化成字段所对应的编码宽字节注入修复使用mysql_set_charset(GBK)指定字符集使用mysql_real_escape_string...php $a=addslashes($GET['id']); $b=urldecode($a); echo '$a='.$a; echo ''; echo '$b='.$b; ?...> addslashes函数，将单引号等字符转义变成\’。

5662 0

什么是宽字节注入_百分号两个字节

宽字节编码有哪些： GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节 MySQL中用于转义的函数有： addslashes、mysql_real_escape_string...防御方法： 1.设置character_set_client=binary，将数据以二进制形式传递 2.矫正人们对于mysql_real_escape_string的误解，单独调用set names gbk...和mysql_real_escape_string是无法避免宽字符注入问题的。

4112 0

PHP代码审计笔记--SQL注入

addslashes($_GET['id']) : 1; $query = "SELECT * FROM users WHERE id ='{$id}' "; $result = mysql_query...宽字符注入的修复：方案一：指定php连接mysql的字符集 mysql_set_charset('gbk',$conn); $id =mysql_real_escape_string($_GET['id...0x05 全局防护盲点 1、str_replace函数过滤单引号等，可能造成注入； 2、stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。...2、PHP内置转义函数 Addslashes() http://php.net/manual/zh/function.addslashes.php magic_quote_gpc http://php.net.../manual/zh/info.configuration.php#ini.magic-quotes-gpc mysql_real_escape_string() http://php.net/manual

1.6K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭