> 백엔드 개발 > PHP 튜토리얼 > PHP를 사용하여 SQL Server 쿼리에서 문자열을 안전하게 이스케이프하려면 어떻게 해야 합니까?

PHP를 사용하여 SQL Server 쿼리에서 문자열을 안전하게 이스케이프하려면 어떻게 해야 합니까?

Linda Hamilton
풀어 주다: 2024-12-09 02:05:14
원래의
202명이 탐색했습니다.

How Can I Safely Escape Strings in SQL Server Queries Using PHP?

PHP를 사용하여 SQL Server에서 문자열 이스케이프하기: 종합 가이드

PHP를 사용하여 SQL Server로 작업할 때는 다음으로부터 데이터를 보호하는 것이 중요합니다. 문자열을 적절하게 이스케이프하여 SQL 주입 공격을 수행합니다. 악의적인 입력이 SQL 명령어로 해석되는 것을 방지하기 위한 기술입니다.

mysql_real_escape_string()의 대안

SQL Server는 MySQL과 달리 내장된 mysql_real_escape_string()과 동일한 함수입니다.

Enter addslashes()

addslashes()는 문자열 이스케이프에 대한 잠재적인 대안으로 종종 간주되는 PHP 함수입니다. 그러나 addlashes()는 SQL Server 데이터베이스와 함께 사용하기에 완전히 적합하지 않다는 점에 유의하는 것이 중요합니다.

더 강력한 솔루션

이상적인 솔루션은 수동으로 인코딩하는 것입니다. 데이터를 16진수 바이트열로 표시합니다. 다음은 안내하는 코드 조각입니다.

$unpacked = unpack('H*hex', $data);
mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (0x' . $unpacked['hex'] . ')
');
로그인 후 복사

재사용 가능한 이스케이프를 위한 추상화

이스케이프 프로세스를 단순화하고 재사용하려면 다음과 같은 사용자 정의 함수를 생성할 수 있습니다.

function mssql_escape($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (' . mssql_escape($somevalue) . ')
');
로그인 후 복사

대체 mysql_error()

오류 처리를 위해 SQL Server는 mysql_error() 대신 mssql_get_last_message()를 제공합니다.

위 내용은 PHP를 사용하여 SQL Server 쿼리에서 문자열을 안전하게 이스케이프하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿