PHP与SQL注入攻击[二]_php技巧

php中文网

发布时间：2016-05-17 09:39:37

1211人浏览过

来源于php中文网

原创

PHP与SQL注入攻击[二]

Magic Quotes

上文提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注
入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全
上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc
选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加上反斜杠\。

但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许
多服务器上Magic Quotes并没有被启用。所以，我们还需要使用其它多种方法来防止SQL注
入。

许多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有一个叫mysql_real_escape_string()的函数，可将特殊字符和可能引起数据库操作出错的字符转义。

参考：
http://cn2.php.net/mysql_real_escape_string
有兴趣可以看看下面的评论:)

看这段代码：

//如果Magic Quotes功用启用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}

mysql_query(“SELECT * FROM users WHERE name='{$name}'”);

注意，在我们使用数据库所带的功能之前要判断一下Magic Quotes是否打开，就像上例
中那样，否则两次重复处理就会出错。如果MQ已启用，我们要把加上的去掉才得到真实
数据。

除了对以上字符串形式的数据进行预处理之外，储存Binary数据到数据库中时，也要注
意进行预处理。否则数据可能与数据库自身的存储格式相冲突，引起数据库崩溃，数据
记录丢失，甚至丢失整个库的数据。有些数据库如PostgreSQL，提供一个专门用来编码
二进制数据的函数pg_escape_bytea()，它可以对数据进行类似于Base64那样的编码。

如：
// for plain-text data use:
pg_escape_string($regular_strings);

// for binary data use:
pg_escape_bytea($binary_data);

另一种情况下，我们也要采用这样的机制。那就是数据库系统本身不支持的多字节语言
如中文，日语等。其中有些的ASCII范围和二进制数据的范围重叠。
不过对数据进行编码将有可能导致像LIKE abc%　这样的查询语句失效。

AISEO ART

AISEO平台的艺术图片生成器

下载

kali怎么挖php漏洞_用phpggc生成php gadget链打洞【技巧】

php创建数据库怎么导入初始数据_php建库导数据法【步骤】

kali怎么挖php漏洞_用sqlmap检测php注入型漏洞【方法】

php后端是做什么的_PHP后端开发者的职责与工作内容

php后端主要会涉及到哪些技术_从LAMP到现代框架的技术全景图

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：php下的权限算法的实现_php技巧下一篇：php 中的str_replace 函数总结_php基础

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

主流快递单号查询入口实时物流进度一站式追踪专题

本专题聚合极兔快递、京东快递、中通快递、圆通快递、韵达快递等主流物流平台的单号查询与运单追踪内容，重点解决单号查询、手机号查物流、官网入口直达、包裹进度实时追踪等高频问题，帮助用户快速获取最新物流状态，提升查件效率与使用体验。

2026.02.02

Golang WebAssembly（WASM）开发入门

本专题系统讲解 Golang 在 WebAssembly（WASM）开发中的实践方法，涵盖 WASM 基础原理、Go 编译到 WASM 的流程、与 JavaScript 的交互方式、性能与体积优化，以及典型应用场景（如前端计算、跨平台模块）。帮助开发者掌握 Go 在新一代 Web 技术栈中的应用能力。

2026.02.02