まず第一に: mysql_escape_string は非推奨なので使用せず、代わりに mysql_real_escape_string を使用してください。
mysql_real_escape_string と addslashes の違いは次のとおりです:
違い 1:
addslashes は MySQL 接続の文字セットについて何も知りません。使用している MySQL 接続以外のバイト エンコーディングを含む文字列を渡すと、値が文字 '、"、および x00 であるすべてのバイトが問題なくエスケープされます。8 ビットの他の文字と異なり、 UTF-8 では、これらのバイトの値は必ずしもすべて文字 '、"、および x00 で表されるわけではありません。考えられる結果は、MySQL がこれらの文字を受け取った後にエラーが発生することです。
このバグを修正したい場合は、iconv 関数を使用して変数を UTF-16 に変換し、addslashes を使用してエスケープしてみてください。
これが、エスケープにアッドスラッシュを使用しない理由の 1 つです。
違い 2:
addslashes と比較して、mysql_real_escape_string は r、n、x1a もエスケープします。これらの文字は MySQL に正しく伝える必要があるようです。そうしないと、間違ったクエリ結果が得られます。
これが、エスケープにアッドスラッシュを使用しないもう 1 つの理由です。
addslashes 対 mysql_real_escape_string
GBK では、0xbf27 は有効な複数文字文字ではありませんが、0xbf5c は有効です。シングルバイト環境では、0xbf27 は 0xbf の後に 0x27(‘) が続くものとして扱われ、0xbf5c は 0xbf の後に 0x5c() が続くものとして扱われます。
バックスラッシュでエスケープされた一重引用符は、MySQL に対する SQL インジェクション攻撃を効果的に防ぐことはできません。もしあなたがaddslashesを使ってくれたら、私(攻撃者、以下同じ)は非常に幸運です。 0xbf27 のようなものを挿入し、それを 0xbf5c27 (有効なマルチバイト文字とその後に一重引用符が続く) にスラッシュを追加します。言い換えれば、エスケープに関係なく、単一引用符を正常に挿入できます。これは、0xbf5c が全角文字ではなく半角文字として扱われるためです。
このデモでは、MySQL 5.0 と PHP 用の mysqli 拡張機能を使用します。試してみたい場合は、必ず GBK を使用してください。
users という名前のテーブルを作成します:
CREATE TABLE users(
username VARCHAR(32) CHARACTER SET GBK,
password VARCHAR(32) CHARACTER SET GBK,
PRIMARY KEY (username)
);
次のコードは、addslashes (または magic_quotes_gpc) のみを使用してクエリ データをエスケープする場合の状況をシミュレートします。
$db->real_connect('localhost', 'lorui', 'lorui.com', 'lorui_db');
/* SQL インジェクションexample*/
$ _POST['ユーザー名'] = chr(0xbf) . chr(0×27) ' または ユーザー名 = ユーザー名 /*'; $_POST['パスワード'] = 'ユーザー名'; '] = addlashes( $_POST['username']); $mysql['password'] =addslashes($_POST['password']); $sql = "SELECT * FROM users WHERE username = '{$mysql['ユーザー名']}' AND パスワード = '{$mysql['パスワード']}'"; $result = $db->query($sql); if ($result->num_rows) { /* 成功*/ } else { /* 失敗*/ }
addslashes を使用しているにもかかわらず、ユーザー名とパスワードを知らなくても正常にログインできます。この脆弱性を悪用すると、SQL インジェクションを簡単に実行できます。
http://www.bkjia.com/PHPjc/759336.html
PHP対Python:違いを理解しますApr 11, 2025 am 12:15 AMPHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。
PHP:それは死にかけていますか、それとも単に適応していますか?Apr 11, 2025 am 12:13 AMPHPは死にかけていませんが、常に適応して進化しています。 1)PHPは、1994年以来、新しいテクノロジーの傾向に適応するために複数のバージョンの反復を受けています。 2)現在、電子商取引、コンテンツ管理システム、その他の分野で広く使用されています。 3)PHP8は、パフォーマンスと近代化を改善するために、JITコンパイラおよびその他の機能を導入します。 4)Opcacheを使用してPSR-12標準に従って、パフォーマンスとコードの品質を最適化します。
PHPの未来:適応と革新Apr 11, 2025 am 12:01 AMPHPの将来は、新しいテクノロジーの傾向に適応し、革新的な機能を導入することで達成されます。1)クラウドコンピューティング、コンテナ化、マイクロサービスアーキテクチャに適応し、DockerとKubernetesをサポートします。 2)パフォーマンスとデータ処理の効率を改善するために、JITコンパイラと列挙タイプを導入します。 3)パフォーマンスを継続的に最適化し、ベストプラクティスを促進します。
PHPの抽象クラスまたはインターフェイスに対して、いつ特性を使用しますか?Apr 10, 2025 am 09:39 AMPHPでは、特性は方法が必要な状況に適していますが、継承には適していません。 1)特性により、クラスの多重化方法が複数の継承の複雑さを回避できます。 2)特性を使用する場合、メソッドの競合に注意を払う必要があります。メソッドの競合は、代替およびキーワードとして解決できます。 3)パフォーマンスを最適化し、コードメンテナビリティを改善するために、特性の過剰使用を避け、その単一の責任を維持する必要があります。
依存関係噴射コンテナ(DIC)とは何ですか?また、なぜPHPで使用するのですか?Apr 10, 2025 am 09:38 AM依存関係噴射コンテナ(DIC)は、PHPプロジェクトで使用するオブジェクト依存関係を管理および提供するツールです。 DICの主な利点には、次のものが含まれます。1。デカップリング、コンポーネントの独立したもの、およびコードの保守とテストが簡単です。 2。柔軟性、依存関係を交換または変更しやすい。 3.テスト可能性、単体テストのために模擬オブジェクトを注入するのに便利です。
通常のPHPアレイと比較して、SPL SPLFIXEDARRAYとそのパフォーマンス特性を説明してください。Apr 10, 2025 am 09:37 AMSplfixedArrayは、PHPの固定サイズの配列であり、高性能と低いメモリの使用が必要なシナリオに適しています。 1)動的調整によって引き起こされるオーバーヘッドを回避するために、作成時にサイズを指定する必要があります。 2)C言語アレイに基づいて、メモリと高速アクセス速度を直接動作させます。 3)大規模なデータ処理とメモリに敏感な環境に適していますが、サイズが固定されているため、注意して使用する必要があります。
PHPは、ファイルを安全に処理する方法をどのように処理しますか?Apr 10, 2025 am 09:37 AMPHPは、$ \ _ファイル変数を介してファイルのアップロードを処理します。セキュリティを確保するための方法には次のものが含まれます。1。アップロードエラー、2。ファイルの種類とサイズを確認する、3。ファイル上書きを防ぐ、4。ファイルを永続的なストレージの場所に移動します。
Null Coulescingオペレーター(??)およびNull Coulescing Assignment Operator(?? =)とは何ですか?Apr 10, 2025 am 09:33 AMJavaScriptでは、nullcoalescingoperator(??)およびnullcoalescingsignmentoperator(?? =)を使用できます。 1.??最初の非潜水金または非未定されたオペランドを返します。 2.??これらの演算子は、コードロジックを簡素化し、読みやすさとパフォーマンスを向上させます。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
Safe Exam Browser
Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。
メモ帳++7.3.1
使いやすく無料のコードエディター
ドリームウィーバー CS6
ビジュアル Web 開発ツール
MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。
PhpStorm Mac バージョン
最新(2018.2.1)のプロフェッショナル向けPHP統合開発ツール
ホットトピック
7455
15137552