mysql_real_escape_string()函数 在不同版本php中不同处理!
Jul 06, 2016 pm 01:53 PM
发现mysql_real_escape_string() 在不同php版本中表现不同。网上看安全开发文档的时候,文档中说,正确使用mysql_real_escape_string()前需要指定mysql连接字符集即使用mysql_set_charset()函数,如果不指定字符集且使用的字符编码是类似GBK的宽字符,可能导致宽字符注入。
这里我做了一个小实验,只使用了mysql_real_escape_string(),未使用mysql_set_charset()函数指定当前连接字符集,在php版本为5.2.17时,可以宽字符注入成功;在php版本为5.3.29时,宽字符注入不成功,查看mysql日志,显示宽字符处也被转义了。
代码:
1 2 3 4 5 6 7 8 9 10 11 12 |
|
使用php版本为5.2.17时mysql日志:
1 2 3 4 |
|
使用php版本为5.3.29时mysql日志:
1 2 3 4 |
|
这里我的问题是,php版本为5.3.29时不需要使用mysql_set_charset()指定连接字符集了吗?如果不需要它是怎么判断的!!!!
回复内容:
发现mysql_real_escape_string() 在不同php版本中表现不同。网上看安全开发文档的时候,文档中说,正确使用mysql_real_escape_string()前需要指定mysql连接字符集即使用mysql_set_charset()函数,如果不指定字符集且使用的字符编码是类似GBK的宽字符,可能导致宽字符注入。
这里我做了一个小实验,只使用了mysql_real_escape_string(),未使用mysql_set_charset()函数指定当前连接字符集,在php版本为5.2.17时,可以宽字符注入成功;在php版本为5.3.29时,宽字符注入不成功,查看mysql日志,显示宽字符处也被转义了。
代码:
1 2 3 4 5 6 7 8 9 10 11 12 |
|
使用php版本为5.2.17时mysql日志:
1 2 3 4 |
|
使用php版本为5.3.29时mysql日志:
1 2 3 4 |
|
这里我的问题是,php版本为5.3.29时不需要使用mysql_set_charset()指定连接字符集了吗?如果不需要它是怎么判断的!!!!
这个和 PHP 版本没有关系,mysql 和 mysqli 扩展是直接使用 C 语言开发的,而且 mysql 的第三方库也是通过 C API 提供的。
所以,这个应该和 mysql.dll 的版本有关,也就是 mysql lib 的版本。
mysql 扩展的版本可以使用 mysql_get_client_info()
函数获得。
至于你的问题,可以参考一下 MySQL 的开发者手册:23.8.7.53 mysql_real_escape_string()

Heißer Artikel

Hot-Tools-Tags

Heißer Artikel

Heiße Artikel -Tags

Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6
Visuelle Webentwicklungstools

SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Heiße Themen

PHP 8.4 Installations- und Upgrade-Anleitung für Ubuntu und Debian

So richten Sie Visual Studio-Code (VS-Code) für die PHP-Entwicklung ein
