当前位置：文江博客话题详情

为了防注入，对sql查询语句加转义addslashes后，语句语法出现问题

发布于 2022-09-01 05:48:02 字数 749 浏览 19 评论 0

【php+mysql的一个项目】
有一个用户，用户名是admin，密码是admin。
查询语句是：

$sql="select * from table_project where a_username='{$username}' and a_password='{$password}';";

然后查询：

$res=mysql_query($sql);
……省略

因为防止sql注入，所以想在sql语句查询之前都进行一下转义，所以用addslashes对$sql语句转义了一下，但是就出错了。

$sql=addslashes($sql);
$res=mysql_query($sql);

在没有加转义的那一行代码前，用admin，admin可以顺利登录。
加了之后，用admin，admin登录后，捕捉了如下错误，请教大牛们怎么破？

错误编号：1064
错误内容：You have an error in your SQL syntax;check the manual that corresponds to your MySQL server version for the right syntax to use near '\'admin\' and a_password=\'21232f297a57a5a743894a0e4a801fc3\'' at line 1

多谢！

收藏 0

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

评论（10）

晨曦÷微暖 2022-09-08 05:48:02

少年，PDO才是王道.mysqli也行。

php$db = new PDO('mysql:host=127.0.0.1;dbname=test;charset=utf8','root','rootpass');
$stm = $db->prepare("select * from test where field = :value");
$stm->bindValue(':value',$_GET['field'],PDO::PARAM_STR);
$stm->execute();

$rows = $stm->fetchAll(PDO::FETCH_ASSOC);
var_dump($rows);

再不济mysqli也可以。

php$db = new mysqli('127.0.0.1','root','rootpass','database_name');
$stmt = $db->prepare("select * from test where field = ?");
$stmt->bind_param('s',$_GET['field']);
$stmt->execute();
$rows = array();
while ($row = $stmt->fetch()) array_push($rows,$row);
var_dump($rows);

迷离° 2022-09-08 05:48:02

如果应用程序只使用预处理语句，可以确保不会发生SQL 注入。
------ php 手册预处理语句

黎夕旧梦 2022-09-08 05:48:02

放弃mysql_query的写法吧，用pdo，另外建议不要使用addslashes，mysqli或者pdo有现成的转义方法

唯憾梦倾城 2022-09-08 05:48:02

$username = 'aaa';
$password = 'bbb';
$sql="select * from table_project where a_username='{$username}' and a_password='{$password}';";
echo addslashes($sql);

select * from table_project where a_username=\'aaa\' and a_password=\'bbb\';

用来包裹字符串的单引号被转义了当然报错了。

另外还是建议使用PDO

慕烟庭风 2022-09-08 05:48:02

好吧，我小白了。
我在用户名变量那个地方做了转义，没有对整个sql语句做转义，然后就好了。

$username=addslashes($username);
$password=md5($password);
$sql="select * from table_project where...;";

密码是md5转换后的，用户名用addslashes转义后，然后放到sql语句中查询，貌似这样就行了。
不知道一般的项目中是不是也是这样处理的啊？

烟花肆意 2022-09-08 05:48:02

php$username=mysql_real_escape_string($username);
$password=mysql_real_escape_string($password);
$sql="select * from table_project where a_username='{$username}' and a_password='{$password}';";

装迷糊 2022-09-08 05:48:02

使用PDO，参数化查询，不要使用拼接字符串的方式。注意使用PDO需要先在php.ini里面开启该功能

多情出卖 2022-09-08 05:48:02

你不能对整个SQL语句转义，需要转义的仅仅是变量而已。

    $username=addslashes($username);
    $sql="select * from table_project where a_username='{$username}' and a_password='{$password}';";

深海夜未眠 2022-09-08 05:48:02

addslashes() 函数在指定的预定义字符前添加反斜杠。
这些预定义字符是：
单引号 (')
双引号 (")
反斜杠 ()
NULL
而加上\的意义在于mysql把它当作字符串来对待。

你不可以对$sql进行。如果你对整个$sql进行addslashes ，你可以打印一下你的sql语句，肯定是不正确的。

゛时过境迁 2022-09-08 05:48:02

参照:
addslashes()用途与php怎样防止mysql注入?
https://segmentfault.com/q/10...

~没有更多了~

关于作者

暂无简介

0 文章

0 评论

21 人气

关注发私信

相关话题

热门标签

操作系统程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端

推荐作者

不再见

文章 0 评论 0

真是无聊啊

文章 0 评论 0

樱娆

文章 0 评论 0

浅语花开

文章 0 评论 0

烛光

文章 0 评论 0

绻影浮沉

文章 0 评论 0

友情链接

我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的隐私政策了解更多相关信息。单击 接受 或继续使用网站，即表示您同意使用 Cookies 和您的相关数据。

原文