PHP mysql_real_escape_string() 函数
生活随笔
收集整理的這篇文章主要介紹了
PHP mysql_real_escape_string() 函数
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。
?
mysql_real_escape_string(string,connection)?
例子一:
<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con){die('Could not connect: ' . mysql_error());}// 獲得用戶名和密碼的代碼// 轉義用戶名和密碼,以便在 SQL 中使用 $user = mysql_real_escape_string($user); $pwd = mysql_real_escape_string($pwd);$sql = "SELECT * FROM users WHERE user='" . $user . "' AND password='" . $pwd . "'" // 更多代碼 mysql_close($con); ?>例子二:
數據庫攻擊。本例演示如果我們不對用戶名和密碼應用 mysql_real_escape_string() 函數會發生什么:
?
<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con){die('Could not connect: ' . mysql_error());}$sql = "SELECT * FROM users WHERE user='{$_POST['user']}' AND password='{$_POST['pwd']}'"; mysql_query($sql);// 不檢查用戶名和密碼 // 可以是用戶輸入的任何內容,比如: $_POST['user'] = 'john'; $_POST['pwd'] = "' OR ''='";// 一些代碼... mysql_close($con); ?>?
那么 SQL 查詢會成為這樣:
?
SELECT * FROM users WHERE user='john' AND password='' OR ''=''?
這意味著任何用戶無需輸入合法的密碼即可登陸。
例子三:
預防數據庫攻擊的正確做法:
<?php function check_input($value) { // 去除斜杠 if (get_magic_quotes_gpc()){$value = stripslashes($value);} // 如果不是數字則加引號 if (!is_numeric($value)){$value = "'" . mysql_real_escape_string($value) . "'";} return $value; };">//connect
$con = mysql_connect("localhost", "hello", "321"); if (!$con){die('Could not connect: ' . mysql_error());}// 進行安全的 SQL $user = check_input($_POST['user']); $pwd = check_input($_POST['pwd']); $sql = "SELECT * FROM users WHERE user=$user AND password=$pwd"; mysql_query($sql);mysql_close($con); ?>
?
?
?
?
?
?
?
總結
以上是生活随笔為你收集整理的PHP mysql_real_escape_string() 函数的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: IMOAutocompletionVie
- 下一篇: 查看SQL语句查询效率