可能的重复:
mysql_real_escape_string() 能做什么,而addslashes() 不能? https://stackoverflow.com/questions/534742/what-does-mysql-real-escape-string-do-that-addslashes-doesnt
如果你想阻止sql注入,你要做的第一件事就是使用mysql_real_escape_string。是否可以使用addslashes()注入数据库?
addslashes 大致相当于str_replace($str, "'", "\\'")
。您可以使用任意数量的 unicode 序列轻松绕过它,这些序列的计算结果为'
在 mysql 中,但看起来完全不同addslashes()
.
Mysql_real_escape_String()
另一方面,使用实际的内部 mysql 转义函数,该函数确切地知道要查找和修复什么,以使其对 mysql 来说“安全”。适用于 mysql 的方法可能不适用于另一个数据库,因为每个数据库的转义语义和要求都略有不同,但如果您正在使用 mysql,那么“真正的转义字符串”就是正确的选择。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)