php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
发布时间 - 2026-01-10 22:02:30 点击率:次php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
php防止SQL注入攻击一般有三种方法:
- 使用mysql_real_escape_string函数
- 使用addslashes函数
- 使用mysql bind_param()
本文章向大家详细介绍这三个方法在防止SQL注入攻击中的效果及区别。
mysql_real_escape_string防sql注入攻击
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
在有些时候需要将mysql_real_escape_string与mysql_set_charset一起使用,因为如果不指定编码,可能会存在字符编码绕过mysql_real_escape_string函数的漏洞,比如:
$name=$_GET['name']; $name=mysql_real_escape_string($name); $sql="select *from table where name like '%$name%'";
当输入name值为name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23时,sql语句输出为:
SELECT * FROM table WHERE name LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';
这时候引发SQL注入攻击。
下面是mysql_real_escape_string函数防止SQL注入攻击的正确做法:
<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// 如果不是数字则加引号
/* http://www.manongjc.com/article/1242.html */
if (!is_numeric($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
// 进行安全的 SQL
mysql_set_charset('utf-8');
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>
addslashes防sql注入攻击
国内很多PHP coder仍在依靠addslashes防止SQL注入(包括我在内),我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。当然addslashes也不是毫无用处,它可用于单字节字符串的处理。
addslashes会自动给单引号,双引号增加\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下:
echo addcslashes('foo[ ]','a..z'); //输出:foo[ ]
$str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符
echo addslashes($str); //输出经过转义的字符串
mysql bind_param()绑定参数防止SQL注入攻击
什么叫绑定参数,给大家举个例子:
<?php $username = "aaa"; $pwd = "pwd"; $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?"; bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量 bindParam($sql, 2, $pwd, 'STRING'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量 echo $sql; ?>
你肯定不知道会输出什么..更无法知道绑定参数有什么好处!这样做的优势是什么.更不知道bindParam这个函数到底做了什么.
下面我简单的写一下这个函数:
<?php
/**
* 模拟简单的绑定参数过程
*
* @param string $sql SQL语句
* @param int $location 问号位置
* @param mixed $var 替换的变量
* @param string $type 替换的类型
*/
$times = 0;
//这里要注意,因为要“真正的"改变$sql的值,所以用引用传值
function bindParam(&$sql, $location, $var, $type) {
global $times;
//确定类型
switch ($type) {
//字符串
default: //默认使用字符串类型
case 'STRING' :
$var = addslashes($var); //转义
$var = "'".$var."'"; //加上单引号.SQL语句中字符串插入必须加单引号
break;
case 'INTEGER' :
case 'INT' :
$var = (int)$var; //强制转换成int
//还可以增加更多类型..
}
//寻找问号的位置
for ($i=1, $pos = 0; $i<= $location; $i++) {
$pos = strpos($sql, '?', $pos+1);
}
//替换问号
$sql = substr($sql, 0, $pos) . $var . substr($sql, $pos + 1);
}
?>
注:由于得知道去除问号的次数..所以我用了一个global来解决.如果放到类中就非常容易了.弄个私有属性既可
通过上面的这个函数.我们知道了..绑定参数的防注入方式其实也是通过转义进行的..只不过是对于变量而言的..
我们来做一个实验:
<?php $times = 0; $username = "aaaa"; $pwd = "123"; $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?"; bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量 bindParam($sql, 2, $pwd, 'INT'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量 echo $sql; //输出 SELECT * FROM table WHERE username = 'aaaa' AND pwd = 123 ?>
可以看到.生成了非常正规的SQL语句.那么好.我们现在来试下刚才被注入的那种情况
<?php $times = 0; $username = "aaa"; $pwd = "fdsafda' or '1'='1"; $sql = "SELECT * FROM table WHERE username = ? AND pwd = ?"; bindParam($sql, 1, $username, 'STRING'); //以字符串的形式.在第一个问号的地方绑定$username这个变量 bindParam($sql, 2, $pwd, 'STRING'); //以字符串的形式.在第二个问号的地方绑定$pwd这个变量 echo $sql; //输出 SELECT * FROM table WHERE username = 'aaa' AND pwd = 'fdsafda\' or \'1\'=\'1' ?>
可以看到.pwd内部的注入已经被转义.当成一个完整的字符串了..这样的话.就不可能被注入了.
总结:
上面三个方法都可以防止sql注入攻击,但第一种方法和第二种方法都存在字符编码的漏洞,所以本文章建议大家使用第三种方法。
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
# php
# mysql_real_escape_string
# addslashes
# SQL
# 注入攻击
# 攻击
# 防止MySQL注入或HTML表单滥用的PHP程序
# PHP MYSQL注入攻击需要预防7个要点
# PHP+mysql防止SQL注入的方法小结
# Php中用PDO查询Mysql来避免SQL注入风险的方法
# PHP连接MySQL数据库的三种方式实例分析【mysql、mysqli、pdo】
# php中mysql连接方式PDO使用详解
# php中数据库连接方式pdo和mysqli对比分析
# php基于PDO实现功能强大的MYSQL封装类实例
# PHP基于pdo的数据库操作类【可支持mysql、sqlserver及oracle】
# PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
# php使用mysqli和pdo扩展
# 测试对比mysql数据库的执行效率完整示例
# PHP使用PDO实现mysql防注入功能详解
# 绑定
# 第一个
# 单引号
# 第二个
# 种方法
# 可以看到
# 多字
# 还可以
# 就不
# 毫无用处
# 可以用
# 而不
# 要注意
# 用了
# 希望能
# 给大家
# 这样做
# 详细介绍
# 如果不是
# 什么叫
相关栏目:
【
网站优化151355 】
【
网络推广146373 】
【
网络技术251813 】
【
AI营销90571 】
相关推荐:
昵图网官方站入口 昵图网素材图库官网入口
Laravel如何实现本地化和多语言支持_Laravel多语言配置与翻译文件管理
品牌网站制作公司有哪些,买正品品牌一般去哪个网站买?
Win11任务栏卡死怎么办 Windows11任务栏无反应解决方法【教程】
html如何与html链接_实现多个HTML页面互相链接【互相】
rsync同步时出现rsync: failed to set times on “xxxx”: Operation not permitted
昵图网官网入口 昵图网素材平台官方入口
中山网站推广排名,中山信息港登录入口?
如何将凡科建站内容保存为本地文件?
Laravel定时任务怎么设置_Laravel Crontab调度器配置
香港服务器建站指南:免备案优势与SEO优化技巧全解析
Laravel如何自定义错误页面(404, 500)?(代码示例)
如何在阿里云完成域名注册与建站?
Laravel怎么使用Collection集合方法_Laravel数组操作高级函数pluck与map【手册】
瓜子二手车官方网站在线入口 瓜子二手车网页版官网通道入口
Laravel怎么实现API接口鉴权_Laravel Sanctum令牌生成与请求验证【教程】
如何在Tomcat中配置并部署网站项目?
Laravel的.env文件有什么用_Laravel环境变量配置与管理详解
laravel怎么用DB facade执行原生SQL查询_laravel DB facade原生SQL执行方法
什么是JavaScript解构赋值_解构赋值有哪些实用技巧
香港服务器WordPress建站指南:SEO优化与高效部署策略
Laravel如何使用Livewire构建动态组件?(入门代码)
浅谈javascript alert和confirm的美化
Python自然语言搜索引擎项目教程_倒排索引查询优化案例
零基础网站服务器架设实战:轻量应用与域名解析配置指南
javascript如何操作浏览器历史记录_怎样实现无刷新导航
iOS中将个别页面强制横屏其他页面竖屏
如何在阿里云香港服务器快速搭建网站?
linux写shell需要注意的问题(必看)
Android滚轮选择时间控件使用详解
Laravel项目如何进行性能优化_Laravel应用性能分析与优化技巧大全
香港服务器选型指南:免备案配置与高效建站方案解析
JavaScript常见的五种数组去重的方式
韩国网站服务器搭建指南:VPS选购、域名解析与DNS配置推荐
北京网站制作公司哪家好一点,北京租房网站有哪些?
Linux系统命令中screen命令详解
Laravel广播系统如何实现实时通信_Laravel Reverb与WebSockets实战教程
公司网站制作价格怎么算,公司办个官网需要多少钱?
Laravel如何实现数据导出到CSV文件_Laravel原生流式输出大数据量CSV【方案】
如何快速建站并高效导出源代码?
Laravel怎么做数据加密_Laravel内置Crypt门面的加密与解密功能
免费视频制作网站,更新又快又好的免费电影网站?
高防网站服务器:DDoS防御与BGP线路的AI智能防护方案
Linux网络带宽限制_tc配置实践解析【教程】
Laravel策略(Policy)如何控制权限_Laravel Gates与Policies实现用户授权
教你用AI将一段旋律扩展成一首完整的曲子
Laravel如何使用Laravel Vite编译前端_Laravel10以上版本前端静态资源管理【教程】
Laravel如何实现API速率限制?(Rate Limiting教程)
Laravel如何实现用户注册和登录?(Auth脚手架指南)
北京网站制作的公司有哪些,北京白云观官方网站?
下一篇:新网云主机建站有哪些步骤?
下一篇:新网云主机建站有哪些步骤?