addslashes,mysql_real_escape_string,mysql_escape_string的区别
来源:互联网 发布:c语言位运算判断奇偶 编辑:程序博客网 时间:2024/06/10 14:55
本文介绍的是用 mysql_real_escape_string对用户提交数据进行整理处理和通过addslashes以及mysql_escape_string这3个类似的功能函数的区别。经过转义的数据可以直接插入到数据库中。
很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。
另外对于php手册中get_magic_quotes_gpc的举例:
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0 PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:
mysql_real_escape_string 考虑到连接的当前字符集,而mysql_escape_string 不考虑。
总结一下:
addslashes() 是强行加;
mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;
mysql_escape_string不考虑连接的当前字符集。
mysql_real_escape_string()函数用于转义SQL语句中的特殊字符,该函数的语法格式如下:
string mysql_real_escape_string ( string $unescaped_string
[, resource $link_identifier ] )
在上述语法中涉及到的参数说明如下。
unescaped_string:未转义的字符串。
link_identifier:MySQL的连接标识符。
mysql_real_escape_string()函数不转义”%” 和 “_”这两个符号。
使用函数mysql_real_escape_string()函数的示例代码如下:
代码23-19 光盘\codes\第23章\23.4\mysql_real_escape_string.php
$connection=mysql_connect(“localhost”,”root”,”root”)
or die(“连接服务器失败”);
$person= “Jone’s and Bobo’s teacher”;
$escaped_person= mysql_real_escape_string($person);
echo $escaped_person;
?>
上面代码的输出结果如图23-18所示。
转义后的字符: Jone\’s and Bobo\’s teacher
- addslashes,mysql_real_escape_string ,mysql_escape_string的区别
- addslashes,mysql_real_escape_string,mysql_escape_string的区别
- addslashes()、mysql_real_escape_string()、mysql_escape_string()函数之间的区别
- addslashes和mysql_escape_string,mysql_real_escape_string的区别
- addslashes和mysql_escape_string,mysql_real_escape_string的区别
- php中addslashes() ,mysql_real_escape_string() 和mysql_escape_string() 的区别--转
- php中防注入函数addslashes() ,mysql_real_escape_string() 和mysql_escape_string() 的区别
- addslashes与mysql_real_escape_string的区别
- addslashes与mysql_real_escape_string的区别
- addslashes与mysql_real_escape_string的区别
- addslashes与mysql_real_escape_string的区别
- mysql_real_escape_string和mysql_escape_string区别
- (转)addslashes与mysql_real_escape_string的区别
- PHP函数addslashes和mysql_real_escape_string的区别
- addslashes和mysql_real_escape_string区别
- mysql_real_escape_string(),mysql_escape_string()
- 讨论magic_quotes_gpc、mysql_real_escape_string、addslashes的区别及用法
- 讨论magic_quotes_gpc、mysql_real_escape_string、addslashes的区别及用法
- Linux对路径和文件长度的限制
- 搜索引擎中查询纠错概述
- Android Notifications通知
- 为系统添加root用户密码
- 计算广告学习笔记 4.1竞价广告系统-位置拍卖理论
- addslashes,mysql_real_escape_string,mysql_escape_string的区别
- 重生之--随想码农
- javascript 获取系统硬件信息
- Windows CE 中向JPG文件写入经纬度 时间等信息
- 一天只允许运行一次的批处理
- Android自动化——截屏(一)
- iOS学习之iOS沙盒(sandbox)机制和文件操作(一)
- DM8148 arm 端采集与显示程序设计记录
- Ubuntu下添加samba实现和windows共享文件