addslashes 及其他清除空格的方法是不安全的，addslashes空格

首页

后端开发

php教程

addslashes 及其他清除空格的方法是不安全的，addslashes空格_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 12, 2016 am 08:59 AM

不安全方法是清除的空格

addslashes 及其他清除空格的方法是不安全的，addslashes空格

清除空格的方法是不安全的,部分原因是因为字符中的空格非常多,例如 "addslashes的问题在于黑客可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。"

最好是按照具体的参数需求校验确定是 int 等不是,外加数据库的参数操作方法.其实这个是数据库的 sql 问题,应该从源头数据库本身来解决,只不过有些数据库滑提供相应的方法罢了.

--------------------------------------------------

    PHP几个防SQL注入攻击自带函数区别
    2010-12-24 13:09:22

    SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。

    为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加上反斜杠。

    但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Quotes并没有被启用。所以，我们还需要使用其它多种方法来防止SQL注入。

    许多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有addslashes()、 mysql_real_escape_string()、mysql_escape_string()等函数，可将特殊字符和可能引起数据库操作出错的字符转义。那么这三个功能函数之间有什么却别呢？下面我们就来详细讲述下。

    虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入，还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。

    当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。

    另外对于php手册中get_magic_quotes_gpc的举例：
    if (!get_magic_quotes_gpc()) {
    $lastname = addslashes($_POST[‘lastname’]);
    } else {
    $lastname = $_POST[‘lastname’];
    }
    最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下。

    再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：
    mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：mysql_real_escape_string 考虑到连接的当前字符集，而mysql_escape_string 不考虑。

    总结一下：

    * addslashes() 是强行加；
    * mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；
    * mysql_escape_string不考虑连接的当前字符集。

    dz中的防止sql注入就是用addslashes这个函数，同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace(/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/, &\1,这个替换解决了注入的问题，同时也解决了中文乱码的一些问题

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

如何在 Windows 11 中清除桌面背景最近的图像历史记录Apr 14, 2023 pm 01:37 PM

<p>Windows 11 改进了系统中的个性化功能，这使用户可以查看之前所做的桌面背景更改的近期历史记录。当您进入windows系统设置应用程序中的个性化部分时，您可以看到各种选项，更改背景壁纸也是其中之一。但是现在可以看到您系统上设置的背景壁纸的最新历史。如果您不喜欢看到此内容并想清除或删除此最近的历史记录，请继续阅读这篇文章，它将帮助您详细了解如何使用注册表编辑器进行操作。</p><h2>如何使用注册表编辑

mysql空格表示什么Jul 20, 2023 pm 05:17 PM

mysql空格是一种特殊字符，用于分隔关键字、标识符、值以及其他语句元素，空格可以在SQL语句中的多个位置使用，并且通常不会影响语句的执行。空格的用途：1、用于分隔关键字和标识符；2、用于分隔运算符和值；3、用于分隔函数、列和表别名；4、用于缩进和对齐。

如何在 Windows 11 中清除保护历史记录：2种方法Apr 23, 2023 am 08:04 AM

当您的PC存储空间不足时，您可以立即查看许多文件夹以释放空间。其中一个消耗很大一部分的是WindowsDefender保护历史记录，但你可以在Windows11中清除它吗？尽管并非完全必要，但删除保护历史记录实际上有助于清除系统上的一些存储空间。对于某些用户来说，这些文件占用了20-25GB的空间，如果您的计算机存储空间不足，这可能会令人生畏。那么，让我们找出什么是保护历史记录，在Windows11中清除它的所有方式，以及如何将其配置为在设置的时间后自动清除。什么是保护历史？M

手机在感染了某种木马病毒后，通过杀毒软件是无法发现查杀的，这个原理就像电脑感染了某种顽固病毒一样，只能通过格式化C盘重装系统，才能将病毒彻底清理掉，那么接下来我就讲解一下手机感染顽固病毒后，彻底清理病毒的方法。方法一打开手机依次点击“设置”-其他设置“-”还原手机“，将手机恢复至出厂设置即可。注意：恢复出厂设置前要先备份手机里面的重要资料，出厂设置就等同于电脑的”格式化重装系统一样“，恢复完之后手机里面的资料将会清空。方法二（1）首先将手机关机，然后同时按住手机“电源键”+“音量+键或音量-键”

如何释放WPS云文档空间Feb 24, 2024 pm 06:12 PM

WPS云文档空间满了怎么清除随着云技术的快速发展，越来越多的人开始使用云端存储来存储和管理自己的文件。其中，WPS云文档作为一款智能办公软件，备受用户喜爱。然而，随着使用时间的增长和文件的累积，WPS云文档的存储空间可能会被占满。那么，当WPS云文档的空间满了时，我们应该如何清除呢？接下来，将为大家介绍一些常用的清理方法。第一种方法是彻底删除不需要的文件。W

vue怎么替换空格Dec 22, 2022 am 09:40 AM

vue实现替换空格的方法：1、创建一个vue示例文件；2、通过正则表达式“string = string.replace(/\s/g," ");”替换所有的空格；3、通过“console.log(string);”输出替换后的字符串即可。

在Python中清除LRU缓存Sep 10, 2023 pm 12:57 PM

Inthisarticle,wewilllearnhowtoclearanLRUcacheimplementedinPython.Beforewedivedeepintothecodingaspect,let'sexplorealittleaboutwhatanLRUcacheisandwhyitispopular.LRUCache，也被称为最近最少使用缓存，是一种在计算机科学中广泛使用的数据结构，通过减少访问频繁使用的数据所需的时间来提高应用程序的性能。LRUCache存储了有限数量的项目，并

如何在C语言中清除控制台？Sep 23, 2023 pm 09:57 PM

有几种方法可以清除控制台或输出屏幕，其中之一是clrscr()函数。它在调用函数时清除屏幕。它在“conio.h”头文件中声明。还有一些其他方法，如system("cls")和system("clear")，它们在“stdlib.h”头文件中声明。以下是在C语言中清除控制台的语法：clrscr();ORsystem(“cls”);ORsystem(“clear”);以下是一个用

See all articles