mysql real escape,mysql_real_escape_string()函数
mysql_real_escape_string()函數
mysql_real_escape_string()函數用于轉義SQL語句中的特殊字符,該函數的語法格式如下:
string mysql_real_escape_string ( string $unescaped_string
[, resource $link_identifier ] )
在上述語法中涉及到的參數說明如下。
unescaped_string:未轉義的字符串。
link_identifier:MySQL的連接標識符。
mysql_real_escape_string()函數不轉義"%" 和 "_"這兩個符號。
使用函數mysql_real_escape_string()函數的示例代碼如下:
代碼23-19 光盤\codes\第23章\23.4\mysql_real_escape_string.php
$connection=mysql_connect("localhost","root","root")
or die("連接服務器失敗");
$person= "Jone's and Bobo's teacher";
$escaped_person= mysql_real_escape_string($person);
echo $escaped_person;
?>
上面代碼的輸出結果如圖23-18所示。
圖23-18 轉義后的字符
Function name must be a string in也就是說沒有申明的變量,查找時注意自己的變量是否申明了,或者是否自己不小心加了一個$。前幾天玉豐學長說了一個解決方法來解決這個問題。如下:
if ($_POST[name] != mysql_real_escape_string($_POST[name]) )
{
exit();
}
如果不大清楚是解決了什么樣的錯誤呢,那么請參考關于一些很無語的php錯誤
下面簡單的說一下我最近對mysql_real_escape_string()函數的理解。
mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。
下列字符受影響: \x00 \n \r \ ' " \x1a 可以說這個函數在某些地方與c++中的/有異曲同工之妙!
如果成功,則該函數返回被轉義的字符串。如果失敗,則返回 false。
關于這個語法mysql_real_escape_string(string,connection)。string是必須寫的,用來描述規定要轉義的字符串。connection可以選擇是否寫,它描述規定的MySQL 連接。如果未規定,默認使用上一個連接。
mysql_real_escape_string 優于addslashes。因為 mysql_real_escape_string考慮到字符集的問題因此可以安全用于 mysql_query()。另外需要注意的是mysql_real_escape_string()不能轉義%及_
在有些時候需要將mysql_real_escape_string與mysql_set_charset一起使用。
下面是我找到的一位大蝦的關于mysql_real_escape_string()函數的認識,稍微做了一點改動,希望記下來和大家一起分享:
{
mysql_real_escape_string()函數的作用:
防止SQL Injection***,也就是你必須驗證用戶的輸入
操作數據的時候避免不必要的字符導致錯誤
例子:***的例子[1]
例子 1
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
// 獲得用戶名和密碼的代碼
// 轉義用戶名和密碼,以便在 SQL 中使用
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// 更多代碼
mysql_close($con);
?>
例子 2
數據庫***。本例演示如果我們不對用戶名和密碼應用 mysql_real_escape_string() 函數會發生什么:
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// 不檢查用戶名和密碼
// 可以是用戶輸入的任何內容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// 一些代碼...
mysql_close($con);
?>
那么 SQL 查詢會成為這樣:
SELECT * FROM users WHERE user='john' AND password='' OR ''=''這意味著任何用戶無需輸入合法的密碼即可登陸。
例子 3
預防數據庫***的正確做法:
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// 如果不是數字則加引號
if (!is_numeric($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
// 進行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>
總結
以上是生活随笔為你收集整理的mysql real escape,mysql_real_escape_string()函数的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java中的类加载器有,Java自定义的
- 下一篇: linux cmake编译源码,linu