文章 专题 AI工具 学习 下载 问答 源码 最近更新
PHP
会员中心 讲师中心 微信公众号
首页 > 后端开发 > php教程 > 正文

php中mysql_real_escape_string()函数的用法介绍

php中文网
发布: 2016-07-25 08:58:13
原创
1092人浏览过
本文介绍下,php中有关mysql_real_escape_string()函数的用法,有需要的朋友,参考下吧。

定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法 mysql_real_escape_string(string,connection)

参数 描述 string 必需。规定要转义的字符串。 connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

说明 本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于 mysql_query()。 提示和注释

提示:可使用本函数来预防数据库攻击。

下面介绍几个有关mysql_real_escape_string()函数的例子,供大家学习参考。

例1:

@@######@@

例2,数据库攻击。

@@######@@

那么 SQL 查询会成为这样: SELECT * FROM users WHERE user='john' AND password='' OR ''='' 即,任何用户无需输入合法的密码即可登陆。

例3:

立即学习PHP免费学习笔记(深入)”;

@@######@@


<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 获得用户名和密码的代码

// 转义用户名和密码,以便在 SQL 中使用
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"

// 更多代码
//by bbs.it-home.org
mysql_close($con);
?>
登录后复制
<?php
/**
* 演示如果不对用户名和密码应用 mysql_real_escape_string() 函数会发生什么情况。
* edit bbs.it-home.org
*/
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不检查用户名和密码
// 可以是用户输入的任何内容,比如:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 一些代码...

mysql_close($con);
?>
登录后复制
<?php
/**
* 预防数据库攻击
* edit bbs.it-home.org
*/
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);
?>
登录后复制
PHP速学教程(入门到精通)
PHP速学教程(入门到精通)

PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!

下载
来源:php中文网
收藏 点赞
上一篇:php函数substr(),mb_substr()及mb_strcut的区别分析 下一篇:php对二维数组进行排序
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
PHP怎么实现数据关联查询 多表关联查询的5个优化技巧 在PHP中实现数据关联查询的核心方法是使用SQL的JOIN语句配合PHP数据库扩展处理结果,具体步骤如下:1.使用PDO或mysqli连接数据库;2.编写包含INNERJOIN、LEFTJOIN等的SQL查询语句完成表关联;3.执行查询并获取结果集;4.遍历结果集进行数据展示或处理。选择JOIN类型时,INNERJOIN返回匹配行,LEFTJOIN保留左表所有行,RIGHTJOIN保留右表所有行,FULLOUTERJOIN保留两表全部行。优化技巧包括:确保关联字段有索引、避免SELECT*、用E
2025-07-10 12:13:02
676
优化PHPCMS的URL重写规则以提高SEO PHPCMS的URL重写不仅改变链接形式,更提升SEO和用户体验。1.核心目标是让搜索引擎更易抓取、用户更易理解和信任链接;2.解决方案需从服务器配置(Apache或Nginx)与PHPCMS后台设置两方面入手;3.Apache需启用mod_rewrite并在.htaccess中定义RewriteRule,注意RewriteBase和匹配顺序;4.Nginx则通过location块和try_files指令实现类似功能;5.后台需进入“URL规则管理”设置伪静态格式并选择生成类型;6.修改后务必清
2025-07-10 11:14:02
875
如何在PHP中配置Oracle数据库连接池的详细教程? 在PHP中配置Oracle数据库连接池需依赖Oracle工具和配置,而非PHP本身。1.安装OracleInstantClient并配置环境变量,安装OCI8扩展并在php.ini中启用;2.在Oracle端启用DRCP连接池,使用DBMS_CONNECTION_POOL包启动并调整参数;3.PHP通过修改连接字符串使用连接池,如oci_connect('username','password','your_tnsname:pooled');4.通过V$CPOOL_STATS等视图检查连接池状态
2025-07-10 11:08:02
593
ACF关系字段:高效获取关联文章自定义字段值 本文旨在指导开发者如何高效地从AdvancedCustomFields(ACF)关系字段中获取关联文章的自定义字段值。针对常见的查询误区,我们将详细阐述使用ACF内置的get_field()函数来直接、优化地检索关联数据,避免不必要的数据库查询,提升性能,并提供清晰的代码示例和注意事项。
2025-07-10 09:32:01
165
ACF关系字段:高效获取关联自定义字段值 本文旨在指导开发者如何高效地从AdvancedCustomFields(ACF)的关系字段中获取关联文章的自定义字段值。通过深入探讨常见误区并提供优化的解决方案,我们将演示如何利用get_field()函数直接检索关系字段及其关联的自定义字段,从而避免复杂的数据库查询,提高代码效率和可读性。文章将提供详细的代码示例,帮助您轻松实现跨文章类型的数据联动。
2025-07-09 22:24:27
308
ACF关系字段:高效获取关联内容的自定义字段值 本文详细介绍了如何利用AdvancedCustomFields(ACF)的关系字段,高效地从关联的自定义文章类型中获取特定的自定义字段值。针对常见的get_posts查询误区,教程推荐使用ACF内置的get_field()函数,通过获取关系字段返回的关联文章ID或对象,进一步提取所需信息,从而优化代码性能并确保数据准确性。
2025-07-09 22:22:29
517
在HTML表单中预选复选框:编辑模式下的数据回显技巧 本文旨在详细阐述如何在HTML表单(尤其是在编辑或更新页面)中根据现有数据正确地预选(勾选)复选框。核心在于理解checked属性的条件性应用,并结合后端数据与前端逻辑,确保用户界面准确反映当前状态,同时兼顾表单提交失败后的数据回填。
2025-07-09 22:04:15
285
生成准确表达文章主题的标题 在Laravel应用中,当编辑现有数据时,正确地预设(勾选)HTML表单中的复选框是一项常见需求。本文将深入探讨如何根据从数据库获取的已选值,动态设置复选框的checked状态,并提供LaravelBlade模板中的实现示例,同时涵盖表单验证失败后保留旧输入的方法,以及相关最佳实践。
2025-07-09 22:02:28
273
动态设置HTML复选框选中状态:以Laravel Blade为例 本文旨在详细阐述在Web应用中,尤其是在Laravel框架的Blade模板中,如何正确地显示和处理已选中的复选框状态。我们将探讨HTML复选框的checked属性机制,分析常见的错误,并提供结合LaravelEloquent和表单重填(old())功能的最佳实践,以确保数据的准确性、用户体验的流畅性以及代码的可维护性。
2025-07-09 22:02:21
889
在Laravel Blade模板中正确预选(Checked)复选框 本文详细阐述了在LaravelBlade模板中,如何根据现有数据正确地预选(Checked)HTML复选框。通过讲解核心的PHP条件逻辑,结合Laravel的最佳实践,包括数据准备、循环渲染以及利用in_array()和old()辅助函数,确保在编辑表单时能够准确显示已选中的选项,并优化用户体验。
2025-07-09 21:48:14
577
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
app下载
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部