0
可能重複:
What does mysql_real_escape_string() do that addslashes() doesn't?SQL注入可以防止只用addslashes(字符串)?
如果沒有,我已經使用函數mysql_escape_string,並將其添加字符如\ r \ n中的話,我不希望出現這種情況..
A
回答
5
不,這不安全。改爲使用mysql_real_escape_string()。它不應該添加任何東西來超越它所需的字符串。
http://php.net/mysql-real-escape-string
這也適用於其他數據庫太:使用特定的擴展逃逸功能。
3
不,addslashes不夠好。 mysql_escape_string不一定夠好。使用mysql_real_escape_string。
無論你喜歡它添加與否都無關緊要,它只會轉義字符以確保查詢語法的有效性。如果這阻礙了你正在做的事情,那麼你做錯了什麼。
2
您也可以選擇使用mysqli函數和Prepared Statements。這在很大程度上避免了這個問題,因爲所有引號都被認爲是數據的一部分。
3
相關問題
- 1. 防止SQL注入
- 2. MS Access - 防止連接字符串中的SQL注入
- 3. 防止SQL注入通過轉換字符串數組
- 4. 必須轉義哪些字符以防止(My)SQL注入?
- 5. c#編碼字符串以防止XSS注入(RegEx ??)
- 6. SQL防止SQL注入
- 7. 當用於排序列時,CFSWITCH可以防止SQL注入嗎?
- 8. 防止SQL注入查詢
- 9. 如何防止SQL注入?
- 10. 防止SQL注入與PHP
- 11. pdo防止sql注入
- 12. 防止SQL注入在asp.net
- 13. 防止SQL注入在ZF
- 14. TryParse防止SQL注入嗎?
- 15. 防止SQL注入的PHP
- 16. 這個函數可以防止sql注入和xss嗎?
- 17. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 18. mysql_real_escape_string可以防止各種sql注入嗎?
- 19. angularjs檢查輸入字段,以防止提交類似SQL注入的字符串
- 20. 使用column_names.include?防止SQL注入?
- 21. 使用JavaScript/jQuery防止SQL注入
- 22. 如何防止特殊字符的SQL注入
- 23. 允許所有特殊字符並防止SQL注入/ XSS
- 24. LINQ-To-SQL如何防止SQL注入?
- 25. PHP + SQL腳本 - 防止SQL注入
- 26. 防止插入空字符串
- 27. 可以採用哪些SQL Server 05/08安全措施來防止SQL注入?
- 28. 如果只將輸入視爲字符串,SQL注入是否可能?
- 29. 是否阻止查詢命令足以防止SQL注入?
- 30. 防止jdbc在SQL插入時填充字符串並更新
`mysql_real_escape_string`不會向最終數據添加任何內容。如果發生這種情況,請另外提出一個問題,可能還有其他問題 – 2011-01-09 00:16:36
如果您在使用mysql_real_escape_string()添加內容時遇到問題,請確保Magic Quotes已關閉。 – keithjgrant 2011-01-09 00:21:00