简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

php mysql_real_escape_string関数の使用法と例tutorial_PHPチュートリアル

WBOY
リリース: 2016-07-21 16:13:29
オリジナル
833 人が閲覧しました

現在の文字の接続設定を考慮して、unescaped_string 内の特殊文字をエスケープして、mysql_query() 内で安全に配置できるようにします。バイナリデータを挿入する場合は、この関数を使用する必要があります

次の文字が影響を受けます:

  • x00
  • r
  • '
  • x1a

成功した場合、関数はエスケープされた文字列を返します。失敗した場合は false を返します。

文法

mysql_real_escape_string(string,connection)
ログイン後にコピー
パラメータ 説明
文字列 必須。エスケープする文字列を指定します。
接続 オプション。 MySQL 接続を指定します。指定しない場合は、以前の接続が使用されます。

手順

この関数は文字列内の特殊文字をエスケープし、接続の現在の文字セットを考慮するため、mysql_query() で安全に使用できます。

ヒントとメモ

ヒント: この機能を使用すると、データベース攻撃を防ぐことができます。

例1

コードをコピーします コードは次のとおりです:

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die(' 接続できませんでした: ' .mysql_error());
}

// ユーザー名とパスワードを取得するコード

// SQL で使用するためにユーザー名とパスワードをエスケープします
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE
user='" . $user . "'"

// その他のコード

mysql_close($con);
?>

例 2
データベース攻撃。この例は、mysql_real_escape_string() 関数をユーザー名とパスワードに適用しない場合に何が起こるかを示しています:

コードをコピーします コードは次のとおりです:

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die(' 接続できませんでした: ' .mysql_error());
}

$sql = "SELECT * FROM ユーザー
WHERE user='{$_POST['user']}'
AND パスワード='{$_POST['pwd']}'";
mysql_query($sql);

// ユーザー名とパスワードをチェックしません
// 次のようなユーザーが入力したものであれば何でも構いません:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR '' =' ";

// いくつかのコード...

mysql_close($con);
?>

その後、SQL クエリは次のようになります:

SELECT * FROM users
WHERE user='john' AND passwd='' OR ''='' これは、有効なパスワードを入力しなくても、どのユーザーもログインできることを意味します。

例 3
データベース攻撃を防ぐ正しい方法:

コードをコピーします コードは次のとおりです:

function check_input($value)
{
// スラッシュを削除します
if (get_magic_quotes_gpc())
{
$value =tripslashes ($value ;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
{
die('接続できませんでした: ' .mysql_error());
}

// 安全な SQL を実行します

$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user= $ユーザーとパスワード=$pwd";

mysql_query($sql);


mysql_close($con);
?>


http://www.bkjia.com/PHPjc/313495.html

www.bkjia.comtru​​e

http://www.bkjia.com/PHPjc/313495.html技術記事現在の文字の接続設定を考慮して、unescaped_string 内の特殊文字をエスケープして、mysql_query() 内で安全に配置できるようにします。バイナリデータを挿入する場合、この関数は...
関連ラベル:
escape mysql php string そして 関数 存在する キャラクター チュートリアル 使用法 逃げる
ソース:php.cn
前の記事:PHPファイルアップロードメインコード解説_PHPチュートリアル 次の記事:phpで作成したフォルダ名に「黑」という単語が含まれる場合、「黑」という単語が繰り返し出現しやすくなるのはなぜでしょうか?
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
PHPのwhileループを使用してIDごとにセクション内のデータをリストするにはどうすればよいですか? これらの列を持つ mysql テーブルがあります: series_id、series_color、product_name 出力では、次のように series_id ごとに 1 つ...
から 2023-11-17 20:03:03
0
1
290
未定義関数 create_function() の呼び出し Web サイトのホームページに次のメッセージが表示されます。 致命的なエラー: 捕捉されないエラー: /customers/7/e/7/jovobytes.be/httpd.www...
から 2023-11-16 19:00:36
0
1
277
<?php //年、月、日を指定すると、その日付がその年の何日かを出力します (閏年は 4 100 400 であることに注意してください) <?php // 年、月、日を指定すると、その日付がその年の何日かを出力します (閏年は 4 100 400 であることに注意してください) //使用できる技術ルート...
から 2023-11-14 23:55:21
0
1
79
PHP は Unicode スペースをトリミングします この文字のような Unicode スペースをトリミングしようとしていますが、このソリューションを使用してそれを行うことができました。この解決策の問題は、通常の文字間の Unicod...
から 2023-11-13 08:49:45
0
2
398
TYPO3 V11: 「PHP 警告: 未定義の配列キー」、$this->request->getArguments() が空です 私は typo3 の新規ユーザーです。ユーザーを表示し、検索バーを使用してフィルターするプラグインを作成しましたが、ページを表示しようとすると、次のエラーが表示されます: (1/1...
から 2023-11-12 21:35:09
0
1
362
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!