PHP函数addslashes与mysql_real_escape_string区别分析
程序员文章站
2022-05-27 11:02:37
...
例子,模拟只使用addslashes(或magic_quotes_gpc)对查询数据进行转义时的情况:
尽管使用了addslashes,还是可以在不知道用户名和密码的情况下成功登录。 可以轻松的利用这个漏洞进行SQL注入。 避免这种漏洞,使用mysql_real_escape_string、准备语句(Prepared Statements,即“参数化查询”)或任意一款主流的数据库抽象类库。 |
上一篇: 几个免费的web前端开发工具
推荐阅读
-
PHP call_user_func和call_user_func_array函数的简单理解与应用分析
-
php中sprintf与printf函数用法区别解析
-
PHP中isset与array_key_exists的区别实例分析
-
php中isset与empty函数的困惑与用法分析
-
php判断某个方法是否存在函数function_exists (),method_exists()与is_callable()区别与用法解析
-
PHP函数addslashes和mysql_real_escape_string的区别
-
PHP中new static()与new self()的区别异同分析
-
php面向对象程序设计中self与static的区别分析
-
PHP中substr()与explode()函数用法分析
-
php常用字符串长度函数strlen()与mb_strlen()用法实例分析