PHPでデータベース攻撃を行う方法(SQLインジェクションなど)_PHPチュートリアル

PHP mysql_real_escape_string() 関数

PHP MySQL 関数

定義と使用法

mysql_real_escape_string() 関数は、SQL ステートメントで使用される文字列内の特殊文字をエスケープします。

次の文字が影響を受けます:

x00nr''x1a

成功した場合、関数はエスケープされた文字列を返します。失敗した場合は false を返します。

文法

リーリー

パラメータ	説明
文字列	必須。エスケープする文字列を指定します。
接続	オプション。 MySQL 接続を指定します。指定しない場合は、以前の接続が使用されます。

手順

この関数は string 内の特殊文字をエスケープし、接続の現在の文字セットを考慮するため、安全に使用できます mysql_query()。

ヒントとメモ

ヒント: この機能を使用すると、データベース攻撃を防ぐことができます。

例

例1

リーリー

例 2

データベース攻撃。この例は、mysql_real_escape_string() 関数をユーザー名とパスワードに適用しない場合に何が起こるかを示しています:

リーリー

その後、SQL クエリは次のようになります:

リーリー

これは、有効なパスワードを入力しなくても、どのユーザーもログインできることを意味します。

例 3

データベース攻撃を防ぐための正しい方法:

れーれー

http://www.bkjia.com/PHPjc/735865.htmlwww.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/735865.html技術記事 PHP mysql_real_escape_string() 関数 PHP MySQL 関数の定義と使用法 mysql_real_escape_string() 関数は、SQL ステートメントで使用される文字列内の特殊文字をエスケープします。 次の文字が影響を受けます...