首页 / PHP / php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？

php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1537字，纯文字阅读大概需要3分钟。

内容图文

php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？

这是我的代码：

  $email= mysqli_real_escape_string($db_con,$_POST['email']);
  $psw= mysqli_real_escape_string($db_con,$_POST['psw']);

  $query = "INSERT INTO `users` (`email`,`psw`) VALUES ('".$email."','".$psw."')";

有人可以告诉我它是否安全,或者它是否容易受到SQL注入攻击或其他SQL攻击？

解决方法:

Could someone tell me if it is secure or if it is vulnerable to the SQL Injection attack or other SQL attacks ?

正如uri2x所说,见SQL injection that gets around mysql_real_escape_string().

The best way to prevent SQL injection is to use prepared statements.它们将数据(您的参数)与指令(SQL查询字符串)分开,并且不会为数据留下任何污染查询结构的空间.准备好的声明解决了fundamental problems of application security之一.

对于无法使用预准备语句(例如LIMIT)的情况,为每个特定目的使用非常严格的白名单是保证安全性的唯一方法.

// This is a string literal whitelist
switch ($sortby) {
    case 'column_b':
    case 'col_c':
        // If it literally matches here, it's safe to use
        break;
    default:
        $sortby = 'rowid';
}

// Only numeric characters will pass through this part of the code thanks to type casting
$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
    $start = 0;
}
if ($howmany < 1) {
    $howmany = 1;
}

// The actual query execution
$stmt = $db->prepare(
    "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

我认为上面的代码不受SQL注入的影响,即使在不起眼的边缘情况下也是如此.如果你正在使用MySQL,请确保你转动模拟准备.

$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);

内容总结

以上是互联网集市为您收集整理的php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？全部内容，希望文章能够帮你解决php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/897617.html

来源：【匿名】

【上一篇】php – 在MySql中选择与一对多reationship右侧匹配的行【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？】教程文章相关的互联网学习教程文章

解决phpcms使用php7.1.9时修改后台菜单错误 "[] operator not supported for strings"错误提示【图】

出现这个错误提示是因为$array 在初始化的时候是一个字符串，在下面使用的时候作为数组使用，php7.x版本并没有将$array自动转换为数组而是以字符串存在"[]"作为了运算符，所以提示错误修正：错误解决解决phpcms使用php7.1.9时修改后台菜单错误 "[] operator not supported for strings"错误提示原文：http://www.cnblogs.com/lixihuan/p/7622872.html

PHP7.1 报错 Warning Illegal string offset

报错如下：Warning: Illegal string offset ‘阿根廷‘ in F:\wnmp\www\test.php on line 24Warning: Illegal string offset ‘中国‘ in F:\wnmp\www\test.php on line 24Warning: Illegal string offset ‘印尼‘ in F:\wnmp\www\test.php on line 24 原因：原始代码如下<?php$area = ‘‘; // 重点在这、声明 $area 为字符串$lang = ‘zh‘;$data_area = array(‘AR‘ => array( ‘zh‘ => ‘阿根廷‘,‘en‘ => ‘Argentina‘ ...

使php支持mbstring库

mbstring库全称是Multi-Byte String 即各种语言都有自己的编码，他们的字节数是不一样的，目前php内部的编码只支持ISO-8859-*, EUC-JP, UTF-8其他的编码的语言是没办法在php程序上正确显示的。解决的方法就是通过php的mbstring函数库来解决其安装是在编译php的时候加上--enable-mbstring=?"=" 后面就是跟需要支持的语言，j具体参数如下：--enable-mbstring=cn for Simplified Chinese support, --enable-mbstring=tw for Traditi...

PHP模拟asp.net的StringBuilder类实现方法【代码】

本文实例讲述了PHP模拟asp.net的StringBuilder类实现方法。分享给大家供大家参考。具体如下：在asp.net开发开发环境中,有一个StringBuilder类是比较常用的, 这个类用起来可以实现很方便的text文本的操作. 但是在php中,没有这个类. 不过我们却可以通过自定义类来模拟这个方法. /******************************************** * * 函数名：StringBuilder * 作用：构造PHP下的StringBuilder类 * **********************************...

phpmyadmin提示The mbstring extension is missing的解决方法

本文较为详细的分析了phpmyadmin提示The mbstring extension is missing的解决方案,分享给大家供大家参考。具体方法如下：一、问题：phpmyadmin提示:The mbstring extension is missing. Please check your PHP configuration.二、解决方法：其实只要运行一段:复制代码代码如下:yum install php-mbstring就OK了,收工. 如果用的是linux的话,可能是这个问题:查看一下 /etc/php5/mods-available/json.ini 这个文件,把第二行开头的分号...

php array to string【代码】

<?php$arr = array(‘h‘,‘e‘,‘l‘,‘l‘,‘o‘); $string = implode($arr, ‘‘); $string = implode($arr, ‘|‘);?>原文：http://my.oschina.net/u/564141/blog/529002

PHP 内置函数strlen 和mbstring扩展函数mb_strlen的区别【代码】

#EXAMPLE$str_uncode = "简体中文Chinese(Simplified)"; //统计字符串长度 echo strlen($str_uncode).‘<br>‘;//结果:31 echo mb_strlen($str_uncode, ‘UTF-8‘).‘<br>‘;结果:23 echo mb_strlen($str_uncode, ‘GBK‘).‘<br>‘;结果:25 echo mb_strlen($str_uncode, ‘GB2312‘).‘<br>‘;结果27 结果分析：strlen 把一个中文按3字节算（复杂的汉字会按4字节算）mb_strlen ‘UTF-8‘编码一个汉字按一个字节位来算 PHP内置的...

php mysql_real_escape_string函数用法与实例教程【代码】

转义特殊字符在unescaped_string，考虑到当前字符的连接设置，以便它在的地方是安全的在mysql_query（）它。如果二进制数据要插入，这个函数必须被使用下列字符受影响：\x00\n\r\‘"\x1a如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。语法mysql_real_escape_string(string,connection)参数描述string必需。规定要转义的字符串。connection可选。规定 MySQL 连接。如果未规定，则使用上一个连接。说明本函数将 st...

CentOS下安装php的mbstring扩展【代码】

CentOS下安装php的mbstring扩展php的mbstring扩展如果没有安装会导致一些问题：例1：登陆phpMyAdmin的时候会提示没字符串编码和字符串处理库 php_mbstring，有些程序中会用到mb_substr函数没有php的mbstring扩展当这些程序运行的时候通常会提示“Fatal error: Call toundefined function mb_substr()”。例2：安装phpRedisAdmin页面访问为空白。下面是安装步骤：1.安装mbstring扩展 yum -y install php-mbstring...

php – 更改错误日志输出格式：ini_set(‘error_append_string’,’string’)和ini_set(‘error_prepend_string’,’string’)什么【代码】

这就是我告诉php要做的事情：<?php error_reporting(E_ALL); ini_set('display_errors', '0'); ini_set('log_errors', 1); ini_set('error_log', 'errors.log'); ini_set('error_append_string', 'APP'); ini_set('error_prepend_string', 'PRE'); ?>希望我能在一个文件中报告所有错误,在消息之前使用“PRE”,在消息之后使用“APP”. (我的目标是让PRE和APP成为/ n / r或者……) 但我的错误报告日志如下所示：[14-May-2013 00:16:2...

PHP中substr和substring的正确用法

大家都知道js中字符串截取字符有函数substr和substring，那php呢，php没有直接可用的substring函数，但是有substr函数。不信自己可以测试一下。下面给出一段正确的代码。<?$a="me";echo(substr($a,,));//输出me?>下面又给出一段错误的代码<?$a="me";echo(subString($a,,));?> substr() 函数返回字符串的一部分。 substr(string,start,length) string:要截取的字符串start:正数 - 在字符串的指定位置开始负数 - 在从字符串结尾的指...

string – PHP heredoc解析错误【代码】

这会产生输出页面OK$mystring = "<<<EOT";用以下产品替换它Parse error: syntax error, unexpected $end in file.php on line 737$mystring = <<<EOTThis is some PHP text.It is completely freeI can use "double quotes"and 'single quotes',plus $variables too, which willbe properly converted to their values,you can even type EOT, as long as itis not alone on a line, like this: EOT;关于是什么导致解析器窒息的任何...

PHP函数addslashes和mysql_real_escape_string的区别_php实例

首先：不要使用mysql_escape_string，它已被弃用，请使用mysql_real_escape_string代替它。 mysql_real_escape_string和addslashes的区别在于：区别一：addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个包含字节编码之外的其他编码的字符串，它会很愉快地把所有值为字符‘、“、和x00的字节进行转义。如果你正在使用不同于8位和UTF-8的其它字符，这些字节的值不一定全部都是表示字符‘、“、和x00。...

PHPstring的实例教程

PHP 5 String 函数PHP String 函数是 PHP 核心的组成部分。无需安装即可使用这些函数。函数描述addcslashes()返回在指定的字符前添加反斜杠的字符串。addslashes()返回在预定义的字符前添加反斜杠的字符串。bin2hex()把 ASCII 字符的字符串转换为十六进制值。chop()移除字符串右侧的空白字符或其他字符。chr()从指定 ASCII 值返回字符。chunk_split()把字符串分割为一连串更小的部分。convert_cyr_string()把字符串由一种 Cyrillic...

从PHP中的String创建唯一的4字节整数

我有一个SQL表,它使用字符串作为键.我需要使用PHP将该字符串(最多18个字符)转换为唯一的(！)4字节整数.有人可以帮忙吗？解决方法:独特？不可能,抱歉. 让我们仔细看看：有18个字符,即使我们假设只有128个可能的ASCII字符(7位),你会得到128 ^ 18个可能的字符串(我甚至不会考虑更短字符串的可能性！),这是关于8E37(8和37个零). 使用4字节整数,您可以得到256 ^ 4个可能的整数,大约是4E9(40亿). 所以,你有大约4E28个字符串比你有整数;你...

PHP - 技术教程分类

PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP echo/print PHP EOF(heredoc) PHP 数据类型 PHP 类型比较 PHP 常量 PHP 字符串 PHP 运算符 PHP If...Else PHP Switch PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP 魔术常量 PHP 命名空间 PHP 面向对象 PHP 测验 PHP 表单 PHP 表单验证 PHP 表单 - 必需字段 PHP 完整表单实例 PHP $_GET 变量 PHP $_POST 变量 PHP 多维数组 PHP 日期 PHP 包含 PHP 文件 PHP 文件上传 PHP Cookie PHP Session PHP E-mail PHP Error PHP Exception PHP 过滤器 PHP 7 新特性 PHP MySQL 简介 PHP MySQL 连接 PHP MySQL 创建数据库 PHP MySQL 创建数据表 PHP MySQL 插入数据 PHP MySQL 插入多条数据 PHP MySQL 预处理语句 PHP MySQL 读取数据 PHP MySQL Where PHP MySQL Order By PHP MySQL Update PHP MySQL Delete PHP ODBC AJAX 简介 AJAX PHP AJAX 数据库 AJAX 实时搜索 AJAX 投票 PHP Array PHP Calendar PHP cURL PHP Date PHP Directory PHP Error PHP Filesystem PHP Filter PHP FTP PHP HTTP PHP Mail PHP Math PHP Misc PHP MySQLi PHP PDO PHP String PHP Zip PHP Timezones PHP 图像处理 PHP RESTful PHP PCRE PHP 可用的函数 PHP Composer php 全部

PHP - 最热教程

php如何取出数组的前几个元素 PHP变量什么时候释放 PHP如何实现在数据库随机获取几条记录如何解决php base64解码乱码 php主要用于哪些领域 Laravel 批量插入(insert)数据六款国内优秀免费wordpress主题推荐 React如何从后端获取数据并渲染到前端？纯PHP实现定时器任务（Timer），php实现...php该如何安装pdo_mysql扩展

首页 / PHP / php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？

php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？

内容导读

内容图文

内容总结

内容备注

内容手机端

【php – “mysqli_real_escape_string”是否足以避免SQL注入或其他SQL攻击？】教程文章相关的互联网学习教程文章

解决phpcms使用php7.1.9时修改后台菜单错误 "[] operator not supported for strings"错误提示【图】

PHP7.1 报错 Warning Illegal string offset

使php支持mbstring库

PHP模拟asp.net的StringBuilder类实现方法【代码】

phpmyadmin提示The mbstring extension is missing的解决方法

php array to string【代码】

PHP 内置函数strlen 和mbstring扩展函数mb_strlen的区别【代码】

php mysql_real_escape_string函数用法与实例教程【代码】

CentOS下安装php的mbstring扩展【代码】

php – 更改错误日志输出格式：ini_set(‘error_append_string’,’string’)和ini_set(‘error_prepend_string’,’string’)什么【代码】

PHP中substr和substring的正确用法

string – PHP heredoc解析错误【代码】

PHP函数addslashes和mysql_real_escape_string的区别_php实例

PHPstring的实例教程

从PHP中的String创建唯一的4字节整数

STRING - 相关标签

PHP - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程