mysql_real_escape_string VS addslashes
mysql_real_escape_string和addslashes都是用于处理字符串中的特殊字符,以防止SQL注入攻击。它们在处理方式上有一些差异。
- mysql_real_escape_string:
- 概念:mysql_real_escape_string是MySQL提供的一个函数,用于对字符串中的特殊字符进行转义,以防止SQL注入攻击。
- 分类:这是一个数据库相关的函数,用于处理数据库查询中的字符串。
- 优势:mysql_real_escape_string会根据当前连接的字符集来处理特殊字符,确保转义后的字符串在数据库中是安全的。
- 应用场景:适用于需要将用户输入的字符串作为查询条件或插入数据库的值时,特别是在使用纯文本SQL语句构建查询时。
- 推荐的腾讯云相关产品:腾讯云数据库MySQL,详情请参考:腾讯云数据库MySQL
- addslashes:
- 概念:addslashes是PHP提供的一个函数,用于对字符串中的特殊字符进行转义,以防止SQL注入攻击。
- 分类:这是一个PHP相关的函数,用于处理字符串。
- 优势:addslashes会简单地在特殊字符前添加反斜杠,但不考虑当前字符集,因此在某些情况下可能不够安全。
- 应用场景:适用于需要对字符串进行简单转义,但不涉及数据库查询的情况,例如在拼接SQL语句之前对用户输入进行处理。
- 推荐的腾讯云相关产品:腾讯云云服务器,详情请参考:腾讯云云服务器
总结:
mysql_real_escape_string和addslashes都是用于防止SQL注入攻击的工具,但mysql_real_escape_string更加安全和可靠,因为它会根据当前字符集进行转义处理。在处理数据库查询时,推荐使用mysql_real_escape_string。而addslashes适用于一般字符串处理,但在涉及数据库查询时,不建议使用。腾讯云提供了腾讯云数据库MySQL和腾讯云云服务器等相关产品,可满足云计算领域的需求。
相关·内容
5回答
mysql_real_escape_string VS地址斜杠
php、mysql
有人能从PHP手册中解释一下这两个函数之间的区别吗:
addslashes:返回在数据库查询等需要引用的字符前面有反斜杠的字符串。这些字符是单引号(')、双引号(")、反斜杠()和NUL (空字节)。
mysql_real_escape_string:mysql_real_escape_string()调用MySQL的库函数mysql_real_escape_string,该函数将反斜杠添加到以下字符前面:\x00,\n,\r,,',“和\x1a。
据我所知,主要的区别是\x00,\n \r \x1a,addslashes不能转义,你能告诉我这有什么意义吗?
浏览 1提问于2010-08-13得票数 42
回答已采纳
11回答
mysql_real_escape_string()做了什么是addslashes()做不到的?
php、security、sql-injection
为什么我们需要一个特定于DB的函数,比如mysql_real_escape_string()?它能做addslashes()不能做的事情吗?
暂时忽略参数化查询的更好的替代方案,只使用addslashes()的webapp仍然容易受到SQL注入的攻击,如果是,是如何造成的?
浏览 1提问于2009-02-10得票数 20
回答已采纳
4回答
无需连接到数据库即可替代mysql_real_escape_string
php、mysql、mysql-real-escape-string
我想有一个功能行为作为mysql_real_escape_string而不连接到数据库,因为有时我需要做干测试没有数据库连接。mysql_escape_string已被弃用,因此是不可取的。我的一些发现:
浏览 3提问于2009-07-22得票数 95
回答已采纳
mysql_real_escape_string和addslashes都用于在数据库查询之前对数据进行转义,那么有什么不同呢?(这个问题不是关于参数化查询/PDO/mysqli)
浏览 2提问于2008-09-18得票数 9
回答已采纳
3回答
在这种情况下可以执行SQL注入吗?
php、mysql、sql-injection
我一直在研究我的PHP代码和SQL语句,虽然我知道在处理这个问题时可以使用准备好的语句,但我仍然想知道如何在这里执行SQL注入。
$name = mysql_real_escape_string(htmlspecialchars($_POST["Name"]));
$age = (int) mysql_real_escape_string(htmlspecialchars($_POST["Age"]));
$amount = (int) mysql_real_escape_string($_POST["Amount"]);
$sql =
浏览 8提问于2014-01-12得票数 2
回答已采纳
2回答
使用!password_verify时是否需要转义密码输入?
php、mysql、authentication
目前我得到了这个:
$password = mysql_real_escape_string($_POST['password']);
然后我用下面的密码检查密码:
$password_q = mysql_query ("SELECT password FROM ppl WHERE email='$email'");
$password_result = mysql_result ($password_q, 0);
if (!password_verify($password, $password
浏览 4提问于2016-04-22得票数 1
2回答
mysql_real_escape_string是否易受无效UTF-8利用(如超长UTF-8或格式不良的UTF-8序列)的影响?
php、utf-8、mysql-real-escape-string
假设我的数据库设置如下所示,使用utf-8 (mysql中的完整4mb版本)
mysql_query("SET CHARACTER SET utf8mb4");
mysql_query("SET NAMES utf8mb4");
在将字符串放入sql之前,我使用mysql_real_escape_string来转义不需要的字符(注意--我不是在寻找切换到PDO的建议,我想确定mysql_real_escape_string是否对超长的utf8等安全)。
$input = mysql_real_escape_string($_POST['field'
浏览 8提问于2014-01-13得票数 12
6回答
我应该清理传递的每个表单变量吗?
php、sql、mysql、database、security
我有一个有很多字段的表单...
该操作被设置为一个php页面,该页面查询mysql...
我应该用mysql_real_escape_string清理每一个变量吗?或者,我可以忽略下拉列表和电台的清理吗?
此外,除了mysql_real_escape_string之外,我还应该做些什么来防止攻击?
谢谢
浏览 0提问于2010-06-09得票数 4
回答已采纳
5回答
启动具有注入防护功能的网站
php、security、prepared-statement、mysql-real-escape-string
我是一个新的php“开发人员”和SOF网站的新成员。我第一次推出了一个网站,在我的在线研究中,有人告诉我,虽然PHP在表面上可能很容易,但开发人员忽略的最重要的事情是注入。
正如SOF所说的,你应该在提出问题之前进行研究,我也是这样做的,似乎需要mysql_real_escape_string();来转义可能损害数据库的字符。THen我还发现你已经准备好了语句。然而,在SOF和Google上进行搜索,我发现你使用哪一个无关紧要,因为无论哪种方式,用户输入的数据都被用来查询/插入数据库。
所以我现在真的很困惑,因为我发现更多的人支持escape_string语句,也有一些人支持预准备语句。
这就
浏览 0提问于2011-10-28得票数 1
3回答
mysql使用addslashes()
php、sql、mysql
可能重复:
如果您试图阻止sql注入,那么首先要做的就是使用mysql_real_escape_string。是否可以使用addslashes()注入数据库?
浏览 2提问于2011-01-19得票数 7
回答已采纳
4回答
PHP过滤器输入转义输出
php
如果我在mysql_real_escape_string中也添加这样的斜杠,会不会更好:
$username = mysql_real_escape_string(trim(addslashes($_POST['username'])));
在password var中是否需要这样做:
$password = md5(mysql_real_escape_string(trim($_POST['password'])));
我还读了一些关于从数据库安全检索数据的主题……它说像这样检索数据会更好:
htmlentities(stripslashes($v))
出于安
浏览 6提问于2010-06-21得票数 0
回答已采纳
8回答
如何在PHP中防止代码注入攻击?
php、code-injection
我有点困惑,PHP里的函数太多了,有的用这个,有的用那个。有些人使用:htmlspecialchars()、htmlentities()、strip_tags()等
哪一个是正确的,你们通常使用什么?
这是正确的吗(如果有的话,建议我一个更好的):
$var = mysql_real_escape_string(htmlentities($_POST['username']));
这行可以防止MySQL注入和XSS攻击吗??
顺便说一下,除了XSS攻击和MySQL注入之外,我还需要注意其他事情吗?
编辑
结论:
如果我想在数据库中插入字符串,我不需要使用htmlentities
浏览 81提问于2009-07-30得票数 58
回答已采纳
6回答
我目前正在使用sphinxql,并在我的$query上使用mysql_real_escape_string,但由于没有数据库连接...我得到一个访问被拒绝。我在寻找其他的选择:
$query = $_GET["query"];
$query = trim($query);
$remove = array(',','}','{',']','[',';',':','>','<','|',')'
浏览 1提问于2011-08-11得票数 1
回答已采纳
1回答
函数来防止sql注入。
php、mysql、sql
假设开发人员没有在mysql中使用准备好的语句,那么以下三个函数足以防止任何SQL注入。如果有人改进以下职能,我将不胜感激:
function SanitizeForSQL($str)
{
if( function_exists( "mysql_real_escape_string" ) )
{
$ret_str = mysql_real_escape_string( $str );
}
else
{
$ret_str = addslashes( $str );
}
return $ret_
浏览 1提问于2014-01-19得票数 0
回答已采纳
4回答
转义sql语句的正确方法是什么?
php、character-encoding、escaping、mysqli、exploit
我读了很多关于普通sql注入的东西,所以对如何修复它们很感兴趣。在我使用addslashes()之前,我认为(糟糕的)它会适合我。然后我发现mysql(i)_real_escape_string()比addslashes()更有用、更值得信任。从那时起,我开始使用mysqli_real_escape_string(),但最近我遇到了一些我并不真正理解的事情。我在向mysql和字符集发送数据时遇到了一些问题。所以,我再一次搜索,许多用户说SET NAMES UTF8是让一切按正确的方式进行的方法。但是后来我读到,使用该查询会使mysqli_real_escape_string()无法工作。
所以
浏览 0提问于2012-08-08得票数 1
回答已采纳
4回答
mysql_real_escape_string和地址斜杠的错误
php、mysql
我对mysql_real_escape_string和addslashes有意见。我的PHP文件中有一个表单,它是$_POST['title'],然后我有:
$title = mysql_real_escape_string(addslashes($_POST['title']));
我将$title插入到我的数据库中。当我想要从我的数据库中获得这个值时,我需要:
$title = stripslashes($results['title']);
问题是当我提交类似这样的东西:abs"'@时,我的结果是:abs\"\&#
浏览 0提问于2011-11-15得票数 2
回答已采纳
1回答
加号+ secure实体是否足够安全?
php、xss
我有addslashes(htmlentities($userInput))。它被插入到我的数据库中。(不是mysql db)它对xss是否足够安全?谢谢!
浏览 0提问于2014-09-16得票数 1
回答已采纳
4回答
这行PHP代码足够防止MySQL注入吗?
php、mysql
我有以下代码,它通过PHP向我的MySQL数据库添加一条记录: Contact只是一个普通字符串。
$contact = mysql_real_escape_string(stripslashes($_POST["contact"]), $con);
$sql="INSERT INTO custom_downloads (contact) VALUES ('$contact')";
这足以防止任何类型的SQL注入攻击吗?我还能做些什么来清理数据呢?
浏览 0提问于2010-07-29得票数 3
回答已采纳
4回答
php:在将输入数据插入mysql数据库之前将其清除
php、mysql、database、variables
在将数据插入mysql数据库之前,我想知道什么是celar输入数据的最好方法。有很多功能:trim,addslashes,mysql_real_escape_string等等。现在我使用的是这个简单的函数:
function filter($var){
$data = preg_replace('/[^a-zA-Z0-9]/','',$var);
$data = trim(addslashes($data));
return $data;
}
做这件事最好的方法是什么?谢谢
浏览 0提问于2011-09-17得票数 2
4回答
PHP的加号是否容易受到sql注入攻击?
php、addslashes
可能重复:
我一直在复习关于PHP的addslashes函数如何/为什么容易受到sql注入的影响的文章。我所读到的所有内容都表明,特定的mysql编码类型(默认字符集=GBK)存在问题,或者如果启用了magic_quotes,就会出现问题。但是,在这个场景中,我无法突破addslashes()函数,做一些恶意的事情--比如以管理员身份登录。
$user = addslashes($_POST['user']);
$pass = sha1($_POST['pass']);
$sql = "SELECT * FROM admin
浏览 2提问于2011-12-01得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
