首页 / PHP / PHP防SQL注入不要再用addslashes和mysql_real_escape_string了

PHP防SQL注入不要再用addslashes和mysql_real_escape_string了

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了PHP防SQL注入不要再用addslashes和mysql_real_escape_string了，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含4935字，纯文字阅读大概需要8分钟。

内容图文

PHP防SQL注入不要再用addslashes和mysql_real_escape_string了

博主热衷各种互联网技术,常啰嗦,时常伴有强迫症，常更新，觉得文章对你有帮助的可以关注我。转载请注明"深蓝的镰刀"

<spanMicrosoft YaHei'">看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace，百度一下"PHP防注入"也同样在使用他们<spanMicrosoft YaHei'">，实践发现就连mysql_real_escape_string也<spanMicrosoft YaHei'">有黑客可以绕过的办法，<spanMicrosoft YaHei'">如果你的系统仍在用上面三个方法，那么我的<spanMicrosoft YaHei'">这篇博文就有了意义，以提醒所有后来者绕过这个坑。

出于为后人栽树而不是挖坑的考虑，给出PHP以及MYSQL的版本信息，以免将来“问题”不再是“问题”了。

<spanMicrosoft YaHei'">用str<spanMicrosoft YaHei'">_replace<spanMicrosoft YaHei'">以及各种php字符替换函数来防注入已经不用我说了，这种“黑名单”式的防御已经被证明是经不起时间考验的。

<spanMicrosoft YaHei'"><spanMicrosoft YaHei'"><spanMicrosoft YaHei'"><spanMicrosoft YaHei'">下面给出绕过addslasher和mysql_real_escape_string的方法(Tri<spanMicrosoft YaHei'">ck)。

注意：虽然在MYSQL5.5.37-log下该Trick已经被修复了，但仍然没有确切地解决注入问题，介于很多公司的系统仍在使用Mysql5.0，我建议立马做出改进，这点也是我《也说说几种让程序员快速提高能力的方法》中提到的一个十分重要的点。

<spanMicrosoft YaHei'"><spanMicrosoft YaHei'"><spanMicrosoft YaHei'"><spanMicrosoft YaHei'"><spanMicrosoft YaHei'">注意：如果你不确定你的系统是否有<spanMicrosoft YaHei'">SQL注入的风险，请将下面的下面的DEMO部署到你的服务器，如果运行结果相同，那么请参考最后的完美的解决方案。

MYSQL:

mysql> select version();
+---------------------+
| version()           |
+---------------------+
| 5.0.45-community-ny |
+---------------------+
1 row in set (0.00 sec)
mysql> create database test default charset GBK;
Query OK, 1 row affected (0.00 sec)
mysql> use test;
Database changed
mysql> CREATE TABLE users (
    username VARCHAR(32) CHARACTER SET GBK,
    password VARCHAR(32) CHARACTER SET GBK,
    PRIMARY KEY (username)
);
Query OK, 0 rows affected (0.02 sec)
mysql> insert into users SET username='ewrfg', password='wer44';
Query OK, 1 row affected (0.01 sec)
mysql> insert into users SET username='ewrfg2', password='wer443';
Query OK, 1 row affected (0.01 sec)
mysql> insert into users SET username='ewrfg4', password='wer4434';
Query OK, 1 row affected (0.01 sec)＝

PHP:

<?php
echo "PHP version: ".PHP_VERSION."\n";

mysql_connect('servername','username','password');
mysql_select_db("test");
mysql_query("SET NAMES GBK");

$_POST['username'] = chr(0xbf).chr(0x27).' OR username = username /*';
$_POST['password'] = 'guess';

$username = addslashes($_POST['username']);
$password = addslashes($_POST['password']);
$sql = "SELECT * FROM  users WHERE  username = '$username' AND password = '$password'";
$result = mysql_query($sql) or trigger_error(mysql_error().$sql);

var_dump(mysql_num_rows($result));
var_dump(mysql_client_encoding());

$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);
$sql = "SELECT * FROM  users WHERE  username = '$username' AND password = '$password'";
$result = mysql_query($sql) or trigger_error(mysql_error().$sql);

var_dump(mysql_num_rows($result));
var_dump(mysql_client_encoding());

mysql_set_charset("GBK");
$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);
$sql = "SELECT * FROM  users WHERE  username = '$username' AND password = '$password'";
$result = mysql_query($sql) or trigger_error(mysql_error().$sql);

var_dump(mysql_num_rows($result));
var_dump(mysql_client_encoding());

结果：

PHP version: 5.2.5
int(3)
string(6) "latin1"
int(3)
string(6) "latin1"
int(0)
string(3) "gbk"

可以看出来不论是使用addslashes还是mysql_real_escape_string,我都可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击！！！！（攻击的原理我就不多说了，感兴趣的同学可以研究下字符编码中单字节和多字节的问题）

注意：第三个mysql_real_escape_string之所以能够防注入是因为mysql_escape_string本身并没办法判断当前的编码，必须同时指定服务端的编码和客户端的编码，加上就能防编码问题的注入了。虽然是可以一定程度上防止SQL注入，但还是建议以下的完美解决方案。

<spanMicrosoft YaHei'">完美解决方案就是使用拥有Prepared Statement机制的PDO和MYSQLi来代替mysql_query(注：mysql_query自 PHP 5.5.0 起已废弃，并在将来会被移除)：

<spanMicrosoft YaHei'">PDO：

$pdo = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array('name' => $name));

foreach ($stmt as $row) {
    // do something with $row
}

MYSQLi：

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // do something with $row
}

以上就介绍了PHP防SQL注入不要再用addslashes和mysql_real_escape_string了，包括了方面的内容，希望对PHP教程有兴趣的朋友有所帮助。

内容总结

以上是互联网集市为您收集整理的PHP防SQL注入不要再用addslashes和mysql_real_escape_string了全部内容，希望文章能够帮你解决PHP防SQL注入不要再用addslashes和mysql_real_escape_string了所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/153172.html

来源：【匿名】

【上一篇】绿色版Apache+PHP的环境搭建【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【PHP防SQL注入不要再用addslashes和mysql_real_escape_string了】教程文章相关的互联网学习教程文章

解决phpcms使用php7.1.9时修改后台菜单错误 "[] operator not supported for strings"错误提示【图】

出现这个错误提示是因为$array 在初始化的时候是一个字符串，在下面使用的时候作为数组使用，php7.x版本并没有将$array自动转换为数组而是以字符串存在"[]"作为了运算符，所以提示错误修正：错误解决解决phpcms使用php7.1.9时修改后台菜单错误 "[] operator not supported for strings"错误提示原文：http://www.cnblogs.com/lixihuan/p/7622872.html

PHP7.1 报错 Warning Illegal string offset

报错如下：Warning: Illegal string offset ‘阿根廷‘ in F:\wnmp\www\test.php on line 24Warning: Illegal string offset ‘中国‘ in F:\wnmp\www\test.php on line 24Warning: Illegal string offset ‘印尼‘ in F:\wnmp\www\test.php on line 24 原因：原始代码如下<?php$area = ‘‘; // 重点在这、声明 $area 为字符串$lang = ‘zh‘;$data_area = array(‘AR‘ => array( ‘zh‘ => ‘阿根廷‘,‘en‘ => ‘Argentina‘ ...

使php支持mbstring库

mbstring库全称是Multi-Byte String 即各种语言都有自己的编码，他们的字节数是不一样的，目前php内部的编码只支持ISO-8859-*, EUC-JP, UTF-8其他的编码的语言是没办法在php程序上正确显示的。解决的方法就是通过php的mbstring函数库来解决其安装是在编译php的时候加上--enable-mbstring=?"=" 后面就是跟需要支持的语言，j具体参数如下：--enable-mbstring=cn for Simplified Chinese support, --enable-mbstring=tw for Traditi...

PHP模拟asp.net的StringBuilder类实现方法【代码】

本文实例讲述了PHP模拟asp.net的StringBuilder类实现方法。分享给大家供大家参考。具体如下：在asp.net开发开发环境中,有一个StringBuilder类是比较常用的, 这个类用起来可以实现很方便的text文本的操作. 但是在php中,没有这个类. 不过我们却可以通过自定义类来模拟这个方法. /******************************************** * * 函数名：StringBuilder * 作用：构造PHP下的StringBuilder类 * **********************************...

phpmyadmin提示The mbstring extension is missing的解决方法

本文较为详细的分析了phpmyadmin提示The mbstring extension is missing的解决方案,分享给大家供大家参考。具体方法如下：一、问题：phpmyadmin提示:The mbstring extension is missing. Please check your PHP configuration.二、解决方法：其实只要运行一段:复制代码代码如下:yum install php-mbstring就OK了,收工. 如果用的是linux的话,可能是这个问题:查看一下 /etc/php5/mods-available/json.ini 这个文件,把第二行开头的分号...

php array to string【代码】

<?php$arr = array(‘h‘,‘e‘,‘l‘,‘l‘,‘o‘); $string = implode($arr, ‘‘); $string = implode($arr, ‘|‘);?>原文：http://my.oschina.net/u/564141/blog/529002

PHP 内置函数strlen 和mbstring扩展函数mb_strlen的区别【代码】

#EXAMPLE$str_uncode = "简体中文Chinese(Simplified)"; //统计字符串长度 echo strlen($str_uncode).‘<br>‘;//结果:31 echo mb_strlen($str_uncode, ‘UTF-8‘).‘<br>‘;结果:23 echo mb_strlen($str_uncode, ‘GBK‘).‘<br>‘;结果:25 echo mb_strlen($str_uncode, ‘GB2312‘).‘<br>‘;结果27 结果分析：strlen 把一个中文按3字节算（复杂的汉字会按4字节算）mb_strlen ‘UTF-8‘编码一个汉字按一个字节位来算 PHP内置的...

php mysql_real_escape_string函数用法与实例教程【代码】

转义特殊字符在unescaped_string，考虑到当前字符的连接设置，以便它在的地方是安全的在mysql_query（）它。如果二进制数据要插入，这个函数必须被使用下列字符受影响：\x00\n\r\‘"\x1a如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。语法mysql_real_escape_string(string,connection)参数描述string必需。规定要转义的字符串。connection可选。规定 MySQL 连接。如果未规定，则使用上一个连接。说明本函数将 st...

CentOS下安装php的mbstring扩展【代码】

CentOS下安装php的mbstring扩展php的mbstring扩展如果没有安装会导致一些问题：例1：登陆phpMyAdmin的时候会提示没字符串编码和字符串处理库 php_mbstring，有些程序中会用到mb_substr函数没有php的mbstring扩展当这些程序运行的时候通常会提示“Fatal error: Call toundefined function mb_substr()”。例2：安装phpRedisAdmin页面访问为空白。下面是安装步骤：1.安装mbstring扩展 yum -y install php-mbstring...

php – 更改错误日志输出格式：ini_set(‘error_append_string’,’string’)和ini_set(‘error_prepend_string’,’string’)什么【代码】

这就是我告诉php要做的事情：<?php error_reporting(E_ALL); ini_set('display_errors', '0'); ini_set('log_errors', 1); ini_set('error_log', 'errors.log'); ini_set('error_append_string', 'APP'); ini_set('error_prepend_string', 'PRE'); ?>希望我能在一个文件中报告所有错误,在消息之前使用“PRE”,在消息之后使用“APP”. (我的目标是让PRE和APP成为/ n / r或者……) 但我的错误报告日志如下所示：[14-May-2013 00:16:2...

PHP中substr和substring的正确用法

大家都知道js中字符串截取字符有函数substr和substring，那php呢，php没有直接可用的substring函数，但是有substr函数。不信自己可以测试一下。下面给出一段正确的代码。<?$a="me";echo(substr($a,,));//输出me?>下面又给出一段错误的代码<?$a="me";echo(subString($a,,));?> substr() 函数返回字符串的一部分。 substr(string,start,length) string:要截取的字符串start:正数 - 在字符串的指定位置开始负数 - 在从字符串结尾的指...

string – PHP heredoc解析错误【代码】

这会产生输出页面OK$mystring = "<<<EOT";用以下产品替换它Parse error: syntax error, unexpected $end in file.php on line 737$mystring = <<<EOTThis is some PHP text.It is completely freeI can use "double quotes"and 'single quotes',plus $variables too, which willbe properly converted to their values,you can even type EOT, as long as itis not alone on a line, like this: EOT;关于是什么导致解析器窒息的任何...

PHP函数addslashes和mysql_real_escape_string的区别_php实例

首先：不要使用mysql_escape_string，它已被弃用，请使用mysql_real_escape_string代替它。 mysql_real_escape_string和addslashes的区别在于：区别一：addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个包含字节编码之外的其他编码的字符串，它会很愉快地把所有值为字符‘、“、和x00的字节进行转义。如果你正在使用不同于8位和UTF-8的其它字符，这些字节的值不一定全部都是表示字符‘、“、和x00。...

PHPstring的实例教程

PHP 5 String 函数PHP String 函数是 PHP 核心的组成部分。无需安装即可使用这些函数。函数描述addcslashes()返回在指定的字符前添加反斜杠的字符串。addslashes()返回在预定义的字符前添加反斜杠的字符串。bin2hex()把 ASCII 字符的字符串转换为十六进制值。chop()移除字符串右侧的空白字符或其他字符。chr()从指定 ASCII 值返回字符。chunk_split()把字符串分割为一连串更小的部分。convert_cyr_string()把字符串由一种 Cyrillic...

从PHP中的String创建唯一的4字节整数

我有一个SQL表,它使用字符串作为键.我需要使用PHP将该字符串(最多18个字符)转换为唯一的(！)4字节整数.有人可以帮忙吗？解决方法:独特？不可能,抱歉. 让我们仔细看看：有18个字符,即使我们假设只有128个可能的ASCII字符(7位),你会得到128 ^ 18个可能的字符串(我甚至不会考虑更短字符串的可能性！),这是关于8E37(8和37个零). 使用4字节整数,您可以得到256 ^ 4个可能的整数,大约是4E9(40亿). 所以,你有大约4E28个字符串比你有整数;你...

PHP - 技术教程分类

PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP echo/print PHP EOF(heredoc) PHP 数据类型 PHP 类型比较 PHP 常量 PHP 字符串 PHP 运算符 PHP If...Else PHP Switch PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP 魔术常量 PHP 命名空间 PHP 面向对象 PHP 测验 PHP 表单 PHP 表单验证 PHP 表单 - 必需字段 PHP 完整表单实例 PHP $_GET 变量 PHP $_POST 变量 PHP 多维数组 PHP 日期 PHP 包含 PHP 文件 PHP 文件上传 PHP Cookie PHP Session PHP E-mail PHP Error PHP Exception PHP 过滤器 PHP 7 新特性 PHP MySQL 简介 PHP MySQL 连接 PHP MySQL 创建数据库 PHP MySQL 创建数据表 PHP MySQL 插入数据 PHP MySQL 插入多条数据 PHP MySQL 预处理语句 PHP MySQL 读取数据 PHP MySQL Where PHP MySQL Order By PHP MySQL Update PHP MySQL Delete PHP ODBC AJAX 简介 AJAX PHP AJAX 数据库 AJAX 实时搜索 AJAX 投票 PHP Array PHP Calendar PHP cURL PHP Date PHP Directory PHP Error PHP Filesystem PHP Filter PHP FTP PHP HTTP PHP Mail PHP Math PHP Misc PHP MySQLi PHP PDO PHP String PHP Zip PHP Timezones PHP 图像处理 PHP RESTful PHP PCRE PHP 可用的函数 PHP Composer php 全部

PHP - 最热教程

php如何取出数组的前几个元素 PHP变量什么时候释放 PHP如何实现在数据库随机获取几条记录如何解决php base64解码乱码 php主要用于哪些领域 Laravel 批量插入(insert)数据六款国内优秀免费wordpress主题推荐 React如何从后端获取数据并渲染到前端？纯PHP实现定时器任务（Timer），php实现...php该如何安装pdo_mysql扩展

首页 / PHP / PHP防SQL注入不要再用addslashes和mysql_real_escape_string了

PHP防SQL注入不要再用addslashes和mysql_real_escape_string了

内容导读

内容图文

内容总结

内容备注

内容手机端

【PHP防SQL注入不要再用addslashes和mysql_real_escape_string了】教程文章相关的互联网学习教程文章

解决phpcms使用php7.1.9时修改后台菜单错误 "[] operator not supported for strings"错误提示【图】

PHP7.1 报错 Warning Illegal string offset

使php支持mbstring库

PHP模拟asp.net的StringBuilder类实现方法【代码】

phpmyadmin提示The mbstring extension is missing的解决方法

php array to string【代码】

PHP 内置函数strlen 和mbstring扩展函数mb_strlen的区别【代码】

php mysql_real_escape_string函数用法与实例教程【代码】

CentOS下安装php的mbstring扩展【代码】

php – 更改错误日志输出格式：ini_set(‘error_append_string’,’string’)和ini_set(‘error_prepend_string’,’string’)什么【代码】

PHP中substr和substring的正确用法

string – PHP heredoc解析错误【代码】

PHP函数addslashes和mysql_real_escape_string的区别_php实例

PHPstring的实例教程

从PHP中的String创建唯一的4字节整数

STRING - 相关标签

MYSQL - 相关标签

PHP - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程