SQL注入mysql_real_escape_string
[英]Sql injection mysql_real_escape_string
問題描述
我有一個難題\\n, \\r, \\x00當有人在注釋字段上使用" '或<br>時\\n, \\r, \\x00如何將變量mysql_real_escape_string()插入數據庫\\n, \\r, \\x00 ,我嘗試使用preg_replace而不是mysql_real_escape_string ,但是我不確切地知道如何允許所有想要的字符和符號。
2 個解決方案
解決方案1
3 2013-01-11 17:34:59
mysql_real_escape_string僅轉義值,以使查詢不會中斷,如果使用正確,它也可以防止SQL注入。
如果您不希望某些字符,則在應用mysql_real_escape_string 之前,需要使用其他功能來去除它們。
[插入強制性的“使用准備好的語句”注釋]
例如:
$string = "My name is
John";
$filtered_string = str_replace("\n", " ", $string); // filter
$escaped = mysql_real_escape_string($filtered_string); // sql escape
mysql_query("INSERT INTO `messages` SET `message` = '" . $escaped . "'");
解決方案2
2 已采納 2013-01-11 17:41:14
您應該可以使用str_replace來解決此問題:
mysql_real_escape_string(str_replace(array("\n", "\r\n", "\x00", '"', '\''), '', $input));
話雖如此,切換到mysqli或PDO進行數據庫讀/寫是一個好主意。 這兩個都允許使用准備好的語句,從而降低了SQL注入的風險。
這是PDO的示例:
$stmt = $PDOConnection->prepare('INSERT INTO example_table (input_field) VALUES (:input_field)');
$stmt->bindParam(':input_field', $input);
$stmt->execute();
mysql_real_escape_string對Anti SQL注入是否足夠?
[英]Is mysql_real_escape_string enough to Anti SQL Injection?
避免使用mysql_real_escape_string和stripslashes進行SQL注入
[英]Avoiding SQL injection using mysql_real_escape_string and stripslashes
在哪里使用mysql_real_escape_string來阻止SQL注入?
[英]Where to use mysql_real_escape_string to prevent SQL Injection?
mysql_real_escape_string是否足以防止HTML注入?
[英]Is mysql_real_escape_string enough for preventing HTML injection?
mysql_real_escape_string()是否完全防止SQL注入?
[英]Does mysql_real_escape_string() FULLY protect against SQL injection?
mysql_real_escape_string可以防止各種sql注入嗎?
[英]Can mysql_real_escape_string ALONE prevent all kinds of sql injection ?
PHP 代碼易受 SQL 注入:如何使用 `mysql_real_escape_string()`?
[英]PHP code vulnerable to SQL injection: how to work with `mysql_real_escape_string()`?
即使我們正在清理輸入mysql_real_escape_string,SQL注入易受攻擊的代碼
[英]SQL injection vulnerable code even when we are sanitizing the input mysql_real_escape_string
已經通過SQL注入攻擊的登錄代碼示例,雖然mysql_real_escape_string ...
[英]Login code sample which has been hacked via SQL Injection, although mysql_real_escape_string…
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
繞過 mysql_real_escape_string() 的 SQL 注入
mysql_real_escape_string對Anti SQL注入是否足夠?
避免使用mysql_real_escape_string和stripslashes進行SQL注入
在哪里使用mysql_real_escape_string來阻止SQL注入?
mysql_real_escape_string是否足以防止HTML注入?
mysql_real_escape_string()是否完全防止SQL注入?
mysql_real_escape_string可以防止各種sql注入嗎?
PHP 代碼易受 SQL 注入:如何使用 `mysql_real_escape_string()`?
即使我們正在清理輸入mysql_real_escape_string,SQL注入易受攻擊的代碼
已經通過SQL注入攻擊的登錄代碼示例,雖然mysql_real_escape_string ...
相關標簽