ホームページ >php教程 >php手册 >phpはlashesとmysql_real_escape_stringを追加します

phpはlashesとmysql_real_escape_stringを追加します

WBOY
WBOYオリジナル
2016-06-13 12:19:161182ブラウズ

これは、addlashes と mysql_real_escape_string の違いをよく説明していますが、多くの国内の PHP プログラマーは依然として SQL インジェクションを防ぐために addlashes に依存していますが (私も含めて)、私は依然として中国語での SQL インジェクションを防ぐためのチェックを強化することをお勧めします。 addslashes の問題は、ハッカーが 0xbf27 を使用して一重引用符を置き換えることができるのに対し、addslashes は 0xbf27 を 0xbf5c27 に変更するだけで、有効なマルチバイト文字になる 0xbf5c は依然として一重引用符とみなされ、そのため addslashes は正常にインターセプトできないことです。
もちろん、addslashes はマルチバイト文字の処理に使用されます。mysql_real_escape_string を使用します。
さらに、PHP マニュアルの get_magic_quotes_gpc の例:

コードをコピー コードは次のとおりです:


if (!get_magic_quotes_gpc() ) {
$lastname = addlashes($_POST['lastname']);
} else {
$lastname = $_POST['lastname']; }

magic_quotes_gpc がすでに開いているときに $_POST['lastname'] を確認するのが最善です。
mysql_real_escape_string と mysql_escape_string の 2 つの関数の違いについて説明します。
mysql_real_escape_string は (PHP 4 >= 4.3.0、PHP 5) でのみ使用できます。それ以外の場合は、mysql_escape_string のみを使用できます。この 2 つの違いは次のとおりです。

mysql_real_escape_string は接続の現在の文字セットを考慮しますが、mysql_escape_string は考慮しません。

要約すると、

addslashes() は強制的な追加です。
mysql_real_escape_string() は文字セットを決定しますが、PHP バージョンには要件があります。
mysql_escape_string は決定しません。接続セットの現在の文字を考慮してください。
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。