1.表单数据
显示的是表单的数据
2.php的抓取的表单数据
已经自动加了\
3.mysql数据 (最下面一行)
写到mysql中居然没有
4.怀疑是被mysql软件隐藏掉了,进命令行看看:
也没有看到\
按照官方的说法
http://www.php.net/manual/zh/function.addslashes.php
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 o'reilly 插入到数据库中,这就需要对其进行转义。 强烈建议使用 dbms 指定的转义函数 (比如 mysql 是 mysqli_real_escape_string(),postgresql 是 pg_escape_string()),但是如果你使用的 dbms 没有一个转义函数,并且使用 \ 来转义特殊字符,你可以使用这个函数。 仅仅是为了获取插入数据库的数据,额外的 \ 并不会插入。 当 php 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ' 时将使用 ' 进行转义。
问题:
1.addsleshes()函数在起到防止注入的作用时,是怎样一种机制?
2.stripslashes()在什么情况下使用?
3.对表单提交过来的数据直接用htmlspecialchars()转义处理并存入数据库,是不是更好?
4.好是的防止sql注入的方式是怎样的?
.
回复内容: 1.表单数据
显示的是表单的数据
2.php的抓取的表单数据
已经自动加了\
3.mysql数据 (最下面一行)
写到mysql中居然没有
4.怀疑是被mysql软件隐藏掉了,进命令行看看:
也没有看到\
按照官方的说法
http://www.php.net/manual/zh/function.addslashes.php
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 o'reilly 插入到数据库中,这就需要对其进行转义。 强烈建议使用 dbms 指定的转义函数 (比如 mysql 是 mysqli_real_escape_string(),postgresql 是 pg_escape_string()),但是如果你使用的 dbms 没有一个转义函数,并且使用 \ 来转义特殊字符,你可以使用这个函数。 仅仅是为了获取插入数据库的数据,额外的 \ 并不会插入。 当 php 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ' 时将使用 ' 进行转义。
问题:
1.addsleshes()函数在起到防止注入的作用时,是怎样一种机制?
2.stripslashes()在什么情况下使用?
3.对表单提交过来的数据直接用htmlspecialchars()转义处理并存入数据库,是不是更好?
4.好是的防止sql注入的方式是怎样的?
.
如文档上写的呀,addslashes就是为参数的引号前加了个斜杠。
也如你所打印的数据,参数前也有斜杠。
但是数据库里就不应该有斜杠呀!
addslashes是如何防注入的,就是防止在我们写sql时直接套用输入参数而导致产生可被注入的sql来防注入的。
例如$sql = select * from user where id = '$id';,如果这里的$id参数被人故意操作成了1' or '1 = 1',那不就成了注入sql了吗?
而如果用addslashes加上斜杠,$id中的引号就会被转意,也就不会产生错误的sql。但这些结果都不会影响到数据写入,因为真正插入和更新数据时,这些斜杠又会被转意回来的。
防御sql注入(输入数据库):
pdo bindparam 或 mysqli_stmt_bind_param: 避免sql注入.
addslashes: 用反斜杠转义所有的单引号,双引号,反斜杠和nul's,一定程度上避免sql注入.
mysqli_real_escape_string: 转义sql语句中的特殊字符.
有了bind_param,就不需要使用addslashes,mysqli_real_escape_string,magic_quotes_gpc这些功能了.
比如:
pdo mysql://方法1(问号占位符)$stmt = $db->prepare('update posts set post_title = ?, post_content = ? where id = ?');$stmt->execute(array($title,$content,$id)); //所有值视作pdo::param_str处理//方法2(命名占位符)$stmt = $db->prepare('update posts set post_title = :title, post_content = :content where id = :id');$stmt->execute(array(':title' => $title,':content' => $content,':id' => $id)); //所有值视作pdo::param_str处理//方法3$stmt = $db->prepare('update posts set post_title = ?, post_content = ? where id = ?');$stmt->bindparam(1, $title, pdo::param_str);$stmt->bindparam(2, $content, pdo::param_str);$stmt->bindparam(3, $id, pdo::param_int);$stmt->execute();//方法4$stmt = $db->prepare('update posts set post_title = :title, post_content = :content where id = :id');$stmt->bindparam(':title', $title, pdo::param_str);$stmt->bindparam(':content', $content, pdo::param_str);$stmt->bindparam(':id', $id, pdo::param_int);$stmt->execute();mysqli://mysqli只需执行一次bind_param,要比pdo简洁一些,mysqli不支持命名占位符.$stmt->bind_param('ssi', $title, $content, $id);
你说的htmlspecialchars是在输出html时防御xss攻击的,区别于上面说的防御sql注入.