php mysql转义
基础概念
PHP中的mysql_escape_string函数(尽管此函数在PHP 7.0.0中被废弃,并在PHP 7.0.1中被移除)用于转义SQL查询中的特殊字符,以防止SQL注入攻击。然而,现在推荐使用mysqli_real_escape_string函数或PDO预处理语句来达到同样的目的。
相关优势
- 防止SQL注入:通过转义特殊字符,可以确保用户输入不会被解释为SQL代码的一部分,从而防止恶意攻击者执行未经授权的数据库操作。
- 数据完整性:正确转义用户输入可以确保数据的完整性,避免因特殊字符导致的查询错误。
类型与应用场景
- 字符串转义:主要用于处理用户输入的字符串数据,确保它们在SQL查询中被正确解释。
- 数字和日期转义:虽然数字和日期通常不需要转义,但在某些情况下(如日期格式包含特殊字符),也可能需要进行处理。
遇到的问题及解决方法
问题1:为什么mysql_escape_string函数被废弃?
- 原因:
mysql_escape_string函数存在安全漏洞,无法完全防止SQL注入攻击。此外,它也不支持最新的MySQL功能和字符集。 - 解决方法:升级到更安全的函数,如
mysqli_real_escape_string或使用PDO预处理语句。
问题2:如何使用mysqli_real_escape_string函数?
- 示例代码:
$mysqli = new mysqli("localhost", "username", "password", "database");
if ($mysqli->connect_error) {
die("连接失败: " . $mysqli->connect_error);
}
$user_input = "O'Reilly";
$escaped_input = $mysqli->real_escape_string($user_input);
$sql = "SELECT * FROM books WHERE author = '$escaped_input'";
$result = $mysqli->query($sql);
// 处理结果...
$mysqli->close();问题3:如何使用PDO预处理语句?
- 示例代码:
try {
$pdo = new PDO("mysql:host=localhost;dbname=database", "username", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$user_input = "O'Reilly";
$stmt = $pdo->prepare("SELECT * FROM books WHERE author = :author");
$stmt->bindParam(':author', $user_input);
$stmt->execute();
// 处理结果...
} catch (PDOException $e) {
echo "数据库连接失败: " . $e->getMessage();
}
$pdo = null;- 参考链接:PHP PDO Prepare
总结
在PHP中处理MySQL查询时,应优先使用mysqli_real_escape_string函数或PDO预处理语句来转义用户输入,以确保安全性和数据完整性。避免使用已废弃的mysql_escape_string函数,并始终注意防范SQL注入攻击。
相关·内容
() Function.mysql-真-转义-字符串:拒绝对第48行C:\xampp\htdocs\shizin\admin\newArticle.php中的用户'ODBC'@'localhost‘(使用密码: NO)的访问警告: <em
浏览 8提问于2010-08-19得票数 1
回答已采纳
我在所有的查询中都使用了mysql_real_escape_string。虽然没有使用addslashes,但是每次使用'时,都会在输出中对其进行转义--这就像是被mysql_real_escape_string转义,然后又被某种PHP设置转义。有没有人知道有任何设置会导致这种情况,先使用mysql_real_escape_string再使用stripslashes是一件很痛苦的事情
浏览 3提问于2011-08-21得票数 1
回答已采纳
我知道5.3版本不推荐使用mysql_escape_string,但是mysql_real_escape_string的实际区别是什么呢?我认为mysql_real_escape_string和mysql_escape_string是完全相同的,除了mysql_real_escape_string使用了第二个参数作为mysql资源。
浏览 4提问于2010-09-08得票数 59
回答已采纳
1回答
在Ubuntu安装的MySQL和PHP中,所有字符串在插入数据库之前都需要进行转义,并且从数据库中读取时没有额外的转义字符。然而,在新系统上,用户在表单中输入的字符串在未被触及时会被正确插入到数据库中,而不会被转义。如果进行转义,则会添加额外的字符。但是,我需要用一个简单的.=向用户输入的字符串添加一个标记,该字符串将被拒绝输入到数据库中,除非进行转义。并且字符串的原始用户输入部分有额外的转义字符。对此有什么简单的解决方案吗?(PHP
浏览 4提问于2012-07-22得票数 1
回答已采纳
5回答
我想在MySQL中匹配此'wildcard %'。
我尝试使用escape \%,但它不起作用。
浏览 3提问于2010-12-04得票数 6
回答已采纳
因为我找不到用于php的Oracle转义方法( php中的MySQL转义方法是mysql_real_escape_string())。我认为,只要您在使用所使用的数据库系统的任何查询中适当地转义这些URI段,就是安全的,但我不知道我是否正确。
谢谢。
浏览 0提问于2011-01-28得票数 0
回答已采纳
8回答
第二个从上面输入的数据库中提取数据,发送电子邮件,然后记录transaction的详细信息表单中的数据与表单中捕获的数据的处理方式是否不同?查询1-没有问题地工作(并且没有转义单引号)(order_id, supplier_id, category_id"', '1&
浏览 116提问于2010-04-22得票数 216
回答已采纳
3回答
我一直在尝试将目录路径插入到mySQL表(reportPath列)中。插入工作正常,但在插入时忽略目录分隔符。php $dir = "csvreports";if (substr($value, -4) == ".CSV" ) mysq
浏览 0提问于2011-09-26得票数 1
我正在PHP中将一个SQL查询放在一起。如何在标点符号中声明一个点?*是一个regexp,不应被PHP解释为级联。
浏览 4提问于2017-03-30得票数 0
回答已采纳
1回答
转义MySQL PHP
、、、
有人知道为什么mysql_real_escape_string()函数在引号或双引号前添加三个反斜杠而不是一个吗?这可能是特定的排序规则吗?我能为此做些什么呢?(除了暴力删除斜杠?)
浏览 2提问于2012-06-20得票数 1
回答已采纳
4回答
遇到错误消息:mysql_real_escape_string() Function.mysql-真正的-转义-字符串:拒绝用户'ODBC'@'localhost‘的访问(使用密码: NO)线路号码:319
严重性:警告
Message:mysql_real_escape_string() Function.mysql-
浏览 7提问于2012-11-28得票数 0
3回答
我有一个php代码片段,如下所示:return$page_name;} else {}我只想在mysql数据库表中插入整个代码,然后再次用同样的格式在页面上检索它当我简单地使用insert INTO查询在数据库中插入这段代码时,就会出现mysql语法错误,因为该代码由于特
浏览 3提问于2012-07-15得票数 0
回答已采纳
我正在使用真正的转义字符串来停止字符,如‘带出SQL错误。这是我的代码的一部分,它应该从表单更新。我需要帮助来弄清楚如何使用update来做转义字符串。$Comments = mysql_real_escape_string($_POST['Comments']);
$id = mysql_real_escape_string($_POST['id']="comments.php?php echo $stuff['id'
浏览 0提问于2012-03-27得票数 0
4回答
是否需要从数据库转义用户输入?
、、、、
因此,我了解MySQL注入,并且总是在将其放入数据库之前对所有用户输入进行转义。然而,我想知道,想象一下一个用户试图提交一个查询来注入,然后我将其转义。所以:(sql::escape()包含我的转义函数)mysql_query("INSERT INTO `table`foo`,`bar`) ('foobar
浏览 3提问于2011-09-16得票数 16
回答已采纳
1回答
如何在不使用MySQL转义字符串的情况下对插入到SQL表中的数据进行转义,以防止SQL注入?Yii::app()->quoteValue不起作用,因为它在插入到mysql中的输入两边加了引号""。有没有PHP函数可以用来防止SQL注入?
浏览 1提问于2012-02-21得票数 2
回答已采纳
2回答
嗯,在我的php页面上,我是这样转义的:$title = mysql_real_escape_string($title);然后,当我通过phpmyadmin查看此数据时,数据显示为转义前的状态,即Jack'sLo
浏览 0提问于2012-03-18得票数 2
回答已采纳
2回答
GET['category']);但这给了我这个错误,
无法从表php_blog中选择条目。从/home/funding9/public_html&
浏览 3提问于2011-06-06得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
