Khi nào nên sử dụng Real_escape_String?
Tóm lại: Sử dụng khi xây dựng các truy vấn phụ thuộc vào dữ liệu đã gửi của người dùng.
Long: Khi lưu dữ liệu đã gửi của người dùng vào cơ sở dữ liệu của bạn theo cách không sử dụng các câu lệnh đã chuẩn bị [chúng được thoát theo mặc định]. Những gì nó làm là ngăn chặn các tình huống như sau
[Không làm điều này]:DO NOT DO THIS]:
txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
Sử dụng Real_escape_String [$ _ get ["userid"] thay vì tham số thô ngăn chặn kẻ tấn công nhận được tất cả người dùng gửi tham số userid được hình thành như thế này: '100 hoặc 1 = 1'. Điều này sẽ được nối và mang lại truy vấn:
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
Sẽ trả về tất cả dữ liệu người dùng trong cơ sở dữ liệu.
Chuỗi thoát thực sẽ thoát 100 hoặc 1 = 1 theo cách mà nó sẽ không được hiểu là SQL hợp lệ và do đó sẽ không mang lại tất cả dữ liệu người dùng.
Thêm vào SQL tiêm
Khi nào nên sử dụng htmlspecialchars?
Tóm lại: Sử dụng khi lặp lại người dùng đã gửi dữ liệu đến trang của bạn.
Long: Nếu người dùng quản lý để lưu một chuỗi như:
alert["Stealing your cookies"]
Đối với cơ sở dữ liệu của bạn sau đó được trình bày cho người dùng khác và bạn lặp lại mà không cần HTMLSPECIALCHARS Mã JavaScript trong thẻ tập lệnh sẽ thực thi trên máy người dùng, đây chỉ là tin xấu, vì bây giờ gần như bất kỳ dữ liệu nào trong trình duyệt đều có thể bị đánh cắp [cookie /LocalStorage] hoặc người dùng được chuyển hướng.
Chuỗi kết quả của các ký tự htmlspecial trên thẻ tập lệnh đã nói ở trên sẽ là:
<script>alert['Stealing your cookies']'</script>
Sẽ được hiển thị trên trang và không được hiểu là mã JavaScript.
plgs at ozemail dot com dot au ¶.
13 years ago
$bien = ‘Cái gì” đây ta’;
mysql_query[“select * from news where title=’$bien’ “];
Aljo ¶
4 years agoaddslashes, mysql_real_escape_string
jonnie ¶
* Thông thường các hệ quản trị cơ sở dữ liệu [HQTCSDL] đều có hàm xử lý kí tự đặc biệt, nên php chỉ cần chuyển qua cho HQTCSDL
5 years ago
Đối
với PostgreSql thì khi ta gọi hàm pg_escape_string thì php sẽ chuyển xuống cho PostgreSql xử lý
presto dot dk at gmail dot com ¶
- Một là: dữ liệu đó có chứa các kí tự đặc biệt [ví dụ như dấu ‘ , ” , /, …] làm cho câu query của chúng ta bị lỗi cú pháp.
Ví dụ:$bien = ‘Cái gì” đây ta’;mysql_query[“select * from news where title=’$bien’ “];
$tieude = ‘Hướng dẫn cách
sử dụng thẻ div’;
$noidung = ‘Thẻ div viết đầy đủ là
==> Rõ ràng trong $bien có chứa dấu “, nên khi đưa vào câu query sẽ làm cho câu query bị lỗi cú pháp.
mysql_query[“insert into news[title, body] values [‘$tieude’, ‘$noidung’]”];
Do đó trong trường hợp này, ta cần phải có hàm để xử lý các biến trước khi đưa vào câu query. Và ứng cử viên sáng giá hiện giờ là: addslashes, mysql_real_escape_string
+ Phân biệt addslashes, mysql_real_escape_string:* Thông thường các hệ quản trị cơ sở dữ liệu [HQTCSDL] đều có hàm xử lý kí tự đặc biệt, nên php chỉ cần chuyển qua cho HQTCSDL
Đối với Mysql thì khi ta gọi hàm mysql_real_escape_string thì php sẽ chuyển xuống cho mysql xử lý [do đó trước khi dùng hàm này, phải gọi hàm mysql_connect]Đối với PostgreSql thì khi ta gọi hàm pg_escape_string thì php sẽ chuyển xuống cho PostgreSql xử lý
* Đối với các HQTCSDL không có hàm xử lý các kí tự đặc biệt thì ta sẽ dùng chính php để xử lý, thông qua hàm addslasheshtmpspecialchas. Hàm này sẽ thay thế dấu < thành < và dấu > thành > . Khi đó về mặt nội dung sẽ là:
- Hai là: dữ liệu đó không làm ảnh hưởng đến cú pháp của câu query, được thêm vào bình thường, nhưng khi hiển thị lên, nó làm cho tài liều html của chúng ta bị lỗi cú pháp.
Ví dụ:$tieude = ‘Hướng dẫn cách sử dụng thẻ div’;$noidung = ‘Thẻ div viết đầy đủ là
, đây là một loại thẻ có mặt trong tất cả website’;mysql_query[“insert into news[title, body] values [‘$tieude’, ‘$noidung’]”];
==> Bạn hãy quan sát $noidung, nó có chứa
[Php 4> = 4.3.0, Php 5]
mysql_real_escape_string - thoát các ký tự đặc biệt trong một chuỗi để sử dụng trong câu lệnh SQL — Escapes special characters in a string for use in an SQL statement
Sự mô tả
MySQL_REAL_ESCAPE_STRING [Chuỗi $unescaped_string
, Tài nguyên $link_identifier
= NULL]: Chuỗi[string $unescaped_string
, resource $link_identifier
= NULL]:
string
MySQL_REAL_ESCAPE_STRING [] gọi chức năng thư viện của MySQL mysql_real_escape_string, điều này đã chuẩn bị ngược lại cho các ký tự sau: \x00
, \n
, ____10, SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
1, SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
2, SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
3 và ____. calls MySQL's library function mysql_real_escape_string, which prepends backslashes to the following characters: \x00
, \n
,
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''0,
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''1,
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''2,
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''3 and
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''4.
Hàm này phải luôn luôn [với một vài ngoại lệ] được sử dụng để làm cho dữ liệu an toàn trước khi gửi truy vấn đến MySQL.
Thận trọng
Bảo mật: Bộ ký tự mặc định
Bộ ký tự phải được đặt ở cấp độ máy chủ hoặc với hàm API mysql_set_charset [] để nó ảnh hưởng đến mysql_real_escape_string []. Xem phần Khái niệm trên các bộ ký tự để biết thêm thông tin.mysql_set_charset[] for it to affect mysql_real_escape_string[]. See the concepts section on character sets for more information.
Thông số
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''5
Chuỗi sẽ được thoát ra.
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''6
Kết nối MySQL. Nếu định danh liên kết không được chỉ định, liên kết cuối cùng được mở bởi mysql_connect [] được giả định. Nếu không tìm thấy liên kết như vậy, nó sẽ cố gắng tạo một liên kết như thể mysql_connect [] đã được gọi mà không có đối số. Nếu không tìm thấy kết nối hoặc thiết lập, lỗi cấp
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 được tạo ra.mysql_connect[] is assumed. If no such link is found, it will try to create one as if mysql_connect[] had been called with no arguments. If no connection is found or established, an
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 level error is generated.
Trả về giá trị
Trả về chuỗi thoát, hoặc
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 về lỗi.
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 on error.
Errors/Exceptions
Thực hiện chức năng này mà không có kết nối MySQL hiện tại cũng sẽ phát ra các lỗi PHP cấp
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7. Chỉ thực thi chức năng này với kết nối MySQL hợp lệ.
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 level PHP errors. Only execute this function with a valid MySQL connection present.
Ví dụ
Ví dụ #1 Simple MySQL_REAL_ESCAPE_STRING [] Ví dụmysql_real_escape_string[] example
txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
0
Ví dụ #2 mysql_real_escape_string [] yêu cầu một ví dụ kết nốimysql_real_escape_string[] requires a connection example
Ví dụ này cho thấy những gì xảy ra nếu kết nối MySQL không có mặt khi gọi chức năng này.
txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
1
Ví dụ trên sẽ xuất ra một cái gì đó tương tự như:
Warning: mysql_real_escape_string[]: No such file or directory in /this/test/script.php on line 5 Warning: mysql_real_escape_string[]: A link to the server could not be established in /this/test/script.php on line 5 bool[false] string[41] "SELECT * FROM actors WHERE last_name = ''"
Ví dụ #3 Một ví dụ về cuộc tấn công tiêm SQL
txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
2
Truy vấn được gửi đến MySQL:
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
Điều này sẽ cho phép bất cứ ai đăng nhập mà không cần mật khẩu hợp lệ.
Ghi chú
Ghi chú::
Một kết nối MySQL được yêu cầu trước khi sử dụng mysql_real_escape_string [] nếu không một lỗi của cấp
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 được tạo ra vàSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 được trả về. NếuSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''6 không được xác định, kết nối MySQL cuối cùng được sử dụng.mysql_real_escape_string[] otherwise an error of levelSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 is generated, andSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 is returned. IfSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''6 isn't defined, the last MySQL connection is used.
Ghi chú::
Một kết nối MySQL được yêu cầu trước khi sử dụng mysql_real_escape_string [] nếu không một lỗi của cấp
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 được tạo ra vàSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 được trả về. NếuSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''6 không được xác định, kết nối MySQL cuối cùng được sử dụng.stripslashes[] to the data. Using this function on data which has already been escaped will escape the data twice.
Ghi chú::
Một kết nối MySQL được yêu cầu trước khi sử dụng mysql_real_escape_string [] nếu không một lỗi của cấp
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''7 được tạo ra vàSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''8 được trả về. NếuSELECT * FROM users WHERE user='aidan' AND password='' OR ''=''6 không được xác định, kết nối MySQL cuối cùng được sử dụng.
Nếu Magic_quotes_GPC được bật, trước tiên hãy áp dụng các stripslashes [] vào dữ liệu. Sử dụng chức năng này trên dữ liệu đã được thoát ra sẽ thoát khỏi dữ liệu hai lần.: mysql_real_escape_string[] does not escape
txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
6 andtxtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
7. These are wildcards in MySQL if combined withtxtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
8,txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
9, orSELECT * FROM Users WHERE UserId = 100 OR 1=1;
0.
Nếu chức năng này không được sử dụng để thoát dữ liệu, truy vấn dễ bị tấn công SQL.
- Lưu ý: MySQL_REAL_ESCAPE_STRING [] không thoát
txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
6 vàtxtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
7. Đây là những ký tự đại diện trong MySQL nếu kết hợp vớitxtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
8,txtSQL = "SELECT * FROM Users WHERE UserId = " + $_GET["userid"];
9 hoặcSELECT * FROM Users WHERE UserId = 100 OR 1=1;
0. - Xem thêm
- mysql_set_charset [] - Đặt bộ ký tự máy khách
- mysql_client_encoding [] - Trả về tên của bộ ký tự
- AddSlashes [] - Chuỗi trích dẫn với dấu gạch chéo
- StripsLashes [] - Un -Quotes một chuỗi được trích dẫn
Chỉ thị Magic_quotes_GPC ¶
Chỉ thị Magic_quotes_Runtime
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
1
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
2
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
3
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
4Feedr ¶ ¶
11 năm trước
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
5
Nicolas ¶ ¶
16 năm trước
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
6
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
7
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
8
SELECT * FROM Users WHERE UserId = 100 OR 1=1;
9
alert["Stealing your cookies"]
0
alert["Stealing your cookies"]
1
alert["Stealing your cookies"]
2
alert["Stealing your cookies"]
3
alert["Stealing your cookies"]
4
alert["Stealing your cookies"]
5
alert["Stealing your cookies"]
6
alert["Stealing your cookies"]
7
alert["Stealing your cookies"]
8Sam tại numbbsafari dot com ¶ ¶
9 năm trước
alert["Stealing your cookies"]
9
<script>alert['Stealing your cookies']'</script>
0
<script>alert['Stealing your cookies']'</script>
1
<script>alert['Stealing your cookies']'</script>
2
alert["Stealing your cookies"]
8Rohankumar Dot 1524 tại Gmail Dot Com ¶ ¶
12 năm trước
<script>alert['Stealing your cookies']'</script>
4
<script>alert['Stealing your cookies']'</script>
5
<script>alert['Stealing your cookies']'</script>
6
<script>alert['Stealing your cookies']'</script>
7
<script>alert['Stealing your cookies']'</script>
8[Php 4> = 4.3.0, Php 5] ¶
13 năm trước
<script>alert['Stealing your cookies']'</script>
9
Aljo ¶ ¶
4 năm trước
$unescaped_string
0
Jonnie ¶ ¶
5 năm trước
$unescaped_string
1
$unescaped_string
2
$unescaped_string
3
$unescaped_string
4
$unescaped_string
5
$unescaped_string
6
$unescaped_string
7
$unescaped_string
8
$unescaped_string
9
$link_identifier
0
$link_identifier
1
$link_identifier
2
$link_identifier
3
$link_identifier
4
$link_identifier
5
$link_identifier
6
$link_identifier
7
alert["Stealing your cookies"]
8Presto Dot DK tại Gmail Dot Com ¶ ¶
12 năm trước
$link_identifier
9
\x00
0
alert["Stealing your cookies"]
8