当前位置: 文江博客话题详情

何时使用 mysql_real_escape_string()

发布于 2024-11-14 00:55:59 字数 193 浏览 4 评论 0原文

什么时候是使用 mysql_real_escape_string 的正确时间?

当我使用 isset(mysql_escape_string($_GET['param'])) 时是否应该使用它,

当我使用 $foo = mysql_real_escape_string($_GET['bar']); 时是否应该使用它?

谢谢

原文

When is the correct time to use mysql_real_escape_string?

Should I be using it when I use isset(mysql_escape_string($_GET['param'])),

Should I be using it when I use $foo = mysql_real_escape_string($_GET['bar']);

Thanks

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(4

℡寂寞咖啡 2024-11-21 00:55:59

当使用字符串文字构建 SQL 查询时,您需要调用此函数。
您不应该在其他地方调用它。

调用此函数的目的是防止您执行像 SELECT * FROM Students WHERE Name = 'Robert'); 这样的 SQL删除表格学生;--'.
mysql_real_escape_string 将对 ' 字符进行转义,以便将恶意字符串完全视为字符串。

You need to call this function when building SQL queries with string literals.
You should not call it anywhere else.

The point of calling this function is to prevent you from executing SQL like SELECT * FROM Students WHERE Name = 'Robert'); DROP TABLE Students;--'.
mysql_real_escape_string will escape the ' character so that the evil string is treated entirely as a string.

回复 原文
忘东忘西忘不掉你 2024-11-21 00:55:59

每当您不信任在 mysql 查询中插入的数据时,就应该使用它来防止 sql 注入。例如所有用户表单数据。
在你的第一个例子中:不。
第二个示例:是的,如果您要在查询中使用 $foo 变量。

You should use it whenever you don't trust the data you are inserting in a mysql query to prevent sql injections. For example all user forms data.
In your first example: no.
Second example: yes, if you are going to use the $foo variable in a query.

回复 原文
永不分离 2024-11-21 00:55:59

每当您将数据插入数据库查询(POST/GET 数据)时都应该使用它,但如果您只需要检查数据则不应使用它。

You should use it whenever you are inserting data into a database query (POST/GET data), but not if you just need to check the data.

回复 原文
执笔绘流年 2024-11-21 00:55:59

每当您想要在查询中使用来自用户的输入时,您就可以使用 mysql_real_escape_string。

使用方法如下:

$user = mysql_real_escape_string('$_GET['user']);
$password = MD5($user.$_GET['password']);
$query = "SELECT * FROM users WHERE user = '$user' AND password = '$password' ";
//the quotes are vital  !!                 ^     ^  or you will not be safe!

这是不起作用的示例代码:

在此处输入图像描述损坏的代码

$user = mysql_real_escape_string('$_GET['user']);
$password = MD5($user.$_GET['password']);
$query = "SELECT * FROM users WHERE user = $user AND password = '$password' ";

在示例中,我可以通过输入任何密码来登录您的系统,并且
用户或 (1=1) --。这将使查询读取:

SELECT * FROM users WHERE user = user or (1=1) --  AND password = '$password

并将批准所有登录,因为密码永远不会被检查。

使用 mysql_query 时,一次只能执行一条 SQL 语句,因此:

$query = "SELECT * FROM a; DELETE FROM a WHERE (1=1)"
mysql_query($query);

将导致错误,因为不能是 ; 之后的部分。

然而,此代码将起作用:

危险

$query = "SELECT * FROM a; DELETE FROM a WHERE (1=1)"
mysqli_query($query);

因为改进 mysqli_query 确实允许一次性执行两个或多个语句。

You use mysql_real_escape_string whenever you have input from a user that you want to use in a query.

Here's how to use it:

$user = mysql_real_escape_string('$_GET['user']);
$password = MD5($user.$_GET['password']);
$query = "SELECT * FROM users WHERE user = '$user' AND password = '$password' ";
//the quotes are vital  !!                 ^     ^  or you will not be safe!

Here's example code that doesn't work:

enter image description hereBroken code

$user = mysql_real_escape_string('$_GET['user']);
$password = MD5($user.$_GET['password']);
$query = "SELECT * FROM users WHERE user = $user AND password = '$password' ";

In the example I can login into your system by entering any password whatsoever and
user or (1=1) --. This will make the query to read:

SELECT * FROM users WHERE user = user or (1=1) --  AND password = '$password

And will approve all logins because the password never gets checked.

When using mysql_query, you can only ever execute one SQL-statement at a time, so:

$query = "SELECT * FROM a; DELETE FROM a WHERE (1=1)"
mysql_query($query);

Will result in an error, because cannot be a part after the ;.

This code however will work:

Danger

$query = "SELECT * FROM a; DELETE FROM a WHERE (1=1)"
mysqli_query($query);

Because the improved mysqli_query does allow two or more statements to be executed in one go.

回复 原文
~没有更多了~

关于作者

弥枳

暂无简介

文章
评论
26 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

燃烧我的卡路李先生

文章 0 评论 0

qq_2gSKZM

文章 0 评论 0

∞梦里开花

文章 0 评论 0

qq_IklFPL

文章 0 评论 0

迷途知返

文章 0 评论 0

深海不蓝

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文