Hướng dẫn mysqli_real_escape_string htmlspecialchars - mysqli_real_escape_string htmlspecialchars
Khi nào nên sử dụng Real_escape_String?Tóm lại: Sử dụng khi xây dựng các truy vấn phụ thuộc vào dữ liệu đã gửi của người dùng. Show Long: Khi lưu dữ liệu đã gửi của người dùng vào cơ sở dữ liệu của bạn theo cách không sử dụng các câu lệnh đã chuẩn bị (chúng được thoát theo mặc định). Những gì nó làm là ngăn chặn các tình huống như sau (Không làm điều này):DO NOT DO THIS):
Sử dụng Real_escape_String ($ _ get ("userid") thay vì tham số thô ngăn chặn kẻ tấn công nhận được tất cả người dùng gửi tham số userid được hình thành như thế này: '100 hoặc 1 = 1'. Điều này sẽ được nối và mang lại truy vấn:
Sẽ trả về tất cả dữ liệu người dùng trong cơ sở dữ liệu. Chuỗi thoát thực sẽ thoát 100 hoặc 1 = 1 theo cách mà nó sẽ không được hiểu là SQL hợp lệ và do đó sẽ không mang lại tất cả dữ liệu người dùng. Thêm vào SQL tiêm Khi nào nên sử dụng htmlspecialchars?Tóm lại: Sử dụng khi lặp lại người dùng đã gửi dữ liệu đến trang của bạn. Long: Nếu người dùng quản lý để lưu một chuỗi như:
Đối với cơ sở dữ liệu của bạn sau đó được trình bày cho người dùng khác và bạn lặp lại mà không cần HTMLSPECIALCHARS Mã JavaScript trong thẻ tập lệnh sẽ thực thi trên máy người dùng, đây chỉ là tin xấu, vì bây giờ gần như bất kỳ dữ liệu nào trong trình duyệt đều có thể bị đánh cắp (cookie /LocalStorage) hoặc người dùng được chuyển hướng. Chuỗi kết quả của các ký tự htmlspecial trên thẻ tập lệnh đã nói ở trên sẽ là:
Sẽ được hiển thị trên trang và không được hiểu là mã JavaScript. plgs at ozemail dot com dot au ¶. 13 years ago Aljo ¶ 4 years agoaddslashes, mysql_real_escape_string jonnie ¶ 5 years ago presto dot dk at gmail dot com ¶ - Một là: dữ liệu đó có chứa các kí tự đặc biệt (ví dụ như dấu ‘ , ” , /, …) làm cho câu query của chúng ta bị lỗi cú pháp. Ví dụ:$bien = ‘Cái gì” đây ta’;mysql_query(“select * from news where title=’$bien’ “); ==> Rõ ràng trong $bien có chứa dấu “, nên khi đưa vào câu query sẽ làm cho câu query bị lỗi cú pháp. Do đó trong trường hợp này, ta cần phải có hàm để xử lý các biến trước khi đưa vào câu query. Và ứng cử viên sáng giá hiện giờ là: addslashes, mysql_real_escape_string + Phân biệt addslashes, mysql_real_escape_string:* Thông thường các hệ quản trị cơ sở dữ liệu (HQTCSDL) đều có hàm xử lý kí tự đặc biệt, nên php chỉ cần chuyển qua cho HQTCSDL Đối với Mysql thì khi ta gọi hàm mysql_real_escape_string thì php sẽ chuyển xuống cho mysql xử lý (do đó trước khi dùng hàm này, phải gọi hàm mysql_connect)Đối với PostgreSql thì khi ta gọi hàm pg_escape_string thì php sẽ chuyển xuống cho PostgreSql xử lý * Đối với các HQTCSDL không có hàm xử lý các kí tự đặc biệt thì ta sẽ dùng chính php để xử lý, thông qua hàm addslasheshtmpspecialchas. Hàm này sẽ thay thế dấu < thành < và dấu > thành > . Khi đó về mặt nội dung sẽ là: - Hai là: dữ liệu đó không làm ảnh hưởng đến cú pháp của câu query, được thêm vào bình thường, nhưng khi hiển thị lên, nó làm cho tài liều html của chúng ta bị lỗi cú pháp. Ví dụ:$tieude = ‘Hướng dẫn cách sử dụng thẻ div’;$noidung = ‘Thẻ div viết đầy đủ là , đây là một loại thẻ có mặt trong tất cả website’;mysql_query(“insert into news(title, body) values (‘$tieude’, ‘$noidung’)”); ==> Bạn hãy quan sát $noidung, nó có chứa (Php 4> = 4.3.0, Php 5) mysql_real_escape_string - thoát các ký tự đặc biệt trong một chuỗi để sử dụng trong câu lệnh SQL — Escapes special characters in a string for use in an SQL statement Sự mô tảMySQL_REAL_ESCAPE_STRING (Chuỗi MySQL_REAL_ESCAPE_STRING () gọi chức năng thư viện của MySQL mysql_real_escape_string, điều này đã chuẩn bị ngược lại cho các ký tự sau: SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''0, SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''1, SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''2, SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''3 and SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''4. Hàm này phải luôn luôn (với một vài ngoại lệ) được sử dụng để làm cho dữ liệu an toàn trước khi gửi truy vấn đến MySQL. Thận trọng Bảo mật: Bộ ký tự mặc địnhBộ ký tự phải được đặt ở cấp độ máy chủ hoặc với hàm API mysql_set_charset () để nó ảnh hưởng đến mysql_real_escape_string (). Xem phần Khái niệm trên các bộ ký tự để biết thêm thông tin.mysql_set_charset() for it to affect mysql_real_escape_string(). See the concepts section on character sets for more information. Thông sốSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''5 Chuỗi sẽ được thoát ra. SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''6 Kết nối MySQL. Nếu định danh liên kết không được chỉ định, liên kết cuối cùng được mở bởi mysql_connect () được giả định. Nếu không tìm thấy liên kết như vậy, nó sẽ cố gắng tạo một liên kết như thể mysql_connect () đã được gọi mà không có đối số. Nếu không tìm thấy kết nối hoặc thiết lập, lỗi cấp SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 được tạo ra.mysql_connect() is assumed. If no such link is found, it will try to create one as if mysql_connect() had been called with no arguments. If no connection is found or established, an SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 level error is generated. Trả về giá trịTrả về chuỗi thoát, hoặc SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 về lỗi. SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 on error. Errors/ExceptionsThực hiện chức năng này mà không có kết nối MySQL hiện tại cũng sẽ phát ra các lỗi PHP cấp SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7. Chỉ thực thi chức năng này với kết nối MySQL hợp lệ. SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 level PHP errors. Only execute this function with a valid MySQL connection present. Ví dụVí dụ #1 Simple MySQL_REAL_ESCAPE_STRING () Ví dụmysql_real_escape_string() example
Ví dụ #2 mysql_real_escape_string () yêu cầu một ví dụ kết nốimysql_real_escape_string() requires a connection example Ví dụ này cho thấy những gì xảy ra nếu kết nối MySQL không có mặt khi gọi chức năng này.
Ví dụ trên sẽ xuất ra một cái gì đó tương tự như: Warning: mysql_real_escape_string(): No such file or directory in /this/test/script.php on line 5 Warning: mysql_real_escape_string(): A link to the server could not be established in /this/test/script.php on line 5 bool(false) string(41) "SELECT * FROM actors WHERE last_name = ''" Ví dụ #3 Một ví dụ về cuộc tấn công tiêm SQL
Truy vấn được gửi đến MySQL: SELECT * FROM users WHERE user='aidan' AND password='' OR ''='' Điều này sẽ cho phép bất cứ ai đăng nhập mà không cần mật khẩu hợp lệ. Ghi chú
Nếu chức năng này không được sử dụng để thoát dữ liệu, truy vấn dễ bị tấn công SQL.
Chỉ thị Magic_quotes_GPC ¶ Chỉ thị Magic_quotes_Runtime
SELECT * FROM Users WHERE UserId = 100 OR 1=1; 4Feedr ¶ ¶ 11 năm trước
Nicolas ¶ ¶ 16 năm trước
8Sam tại numbbsafari dot com ¶ ¶ 9 năm trước
8Rohankumar Dot 1524 tại Gmail Dot Com ¶ ¶ 12 năm trước
<script>alert('Stealing your cookies')'</script> 8(Php 4> = 4.3.0, Php 5) ¶ 13 năm trước
Aljo ¶ ¶ 4 năm trước
Jonnie ¶ ¶ 5 năm trước
8Presto Dot DK tại Gmail Dot Com ¶ ¶ 12 năm trước
8 |