php中addslashes函数与sql防注入
本文实例讲述了php中addslashes函数与sql防注入。分享给大家供大家参考。具体分析如下:
addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:
echo addcslashes('foo[ ]','a..z'); //输出:foo[ ]
$str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符
echo addslashes($str); //输出经过转义的字符串 定义和用法:addslashes() 函数在指定的预定义字符前添加反斜杠.
这些预定义字符是:单引号 ('),双引号 ("),反斜杠 (),null
语法:addslashes(string),当然这个函数更安全,实例代码如下:
$str="<a href='test'>test</a>"; //定义包含特殊字符的字符串 $new=htmlspecialchars($str,ent_quotes); //进行转换操作 echo $new; //输出转换结果 //不过输出时要用到 $str="jane & 'tarzan'"; //定义html字符串 echo html_entity_decode($str); //输出转换后的内容 echo "<br/>"; echo html_entity_decode($str,ent_quotes); //有可选参数输出的内容
希望本文所述对大家的PHP程序设计有所帮助。
-
问题内容: 我知道“参数化查询”是圣杯。 这不是主题。 有一篇旧文章,似乎是使用addslashes时与sql注入相关的所有讨论的参考。 这是链接:http : //shiflett.org/blog/2006/jan/addslashes-versus-mysql-real- escape-string 我的问题是:这个概念证明是否仍然正确?我尝试对其进行测试,但是addlashes似乎可以正常
-
本文向大家介绍PHP中防止SQL注入方法详解,包括了PHP中防止SQL注入方法详解的使用技巧和注意事项,需要的朋友参考一下 问题描述: 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: 因为用户的输入可能是这样的: 那么SQL查询将变成如下: 应该采取哪些有效的方法来防止SQL注入? 最佳回答(来自Theo):
-
本文向大家介绍PHP中怎样防止SQL注入分析,包括了PHP中怎样防止SQL注入分析的使用技巧和注意事项,需要的朋友参考一下 本文实例分析了PHP中怎样防止SQL注入。分享给大家供大家参考。具体分析如下: 一、问题描述: 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: 因为用户的输入可能是这样的: 那么SQL查询将变成如下:
-
问题内容: 这个问题的答案是 社区的努力。编辑现有答案以改善此职位。它目前不接受新的答案或互动。 如果将用户输入未经修改地插入到SQL查询中,则应用程序容易受到SQL注入的攻击,如以下示例所示: 这是因为用户可以输入类似的内容,并且查询变为: 如何防止这种情况的发生? 问题答案: 使用准备好的语句和参数化查询。 这些是独立于任何参数发送到数据库服务器并由数据库服务器解析的SQL语句。这样,攻击者就
-
问题内容: 这个问题已经在这里有了答案 : 如何防止PHP中进行SQL注入? (28个答案) 7年前关闭。 我已经建立了一个网站,该网站即将上线,并且有几个关于防止SQL注入的问题,我知道如何使用,但是我只是想知道是否必须在要获取的所有变量上使用它SQL语句,是否在执行select语句时还是在插入更新和删除时必须使用它?另外,在我将网站投入使用之前,您还建议我实施哪些其他安全措施,在此先感谢您的帮
-
问题内容: 在PHP中,我知道这比使用更加安全。但是,我找不到让SQL注入发生的情况的示例。 谁能举一些例子? 问题答案: 基本上,攻击的工作方式是通过在多字节字符的中间放置反斜杠,从而使反斜杠成为有效的多字节序列的一部分而失去其含义。 本文的一般警告: 对于任何以有效多字节字符结尾的字符编码,这种攻击都是可能的,因为 可以诱使他们创建有效的多字节字符,而不是转义后面的单引号。UTF-8不适合此描