-2
我只是想知道,如果我不止一次地使用mysql_real_escape数据,它是否会有所作为?mysql_real_escape不止一次
所以,如果我在我的网站的一部分,然后再在另一部分代码中的数据溢出。这会成为一个问题吗?或者有所作为?
A
回答
3
是的。你会得到额外的不必要的反斜杠。
1
1
不可能区分转义字符串和非转义字符串,因为看起来像转义字符串的东西是预期的非转义字符串。因此,试图再次逃跑,将逃避逃跑 - 而逃脱的文本将成为MySQL读取的内容。
因此,你不应该多次逃脱。
但是,更好的解决方案是使用参数化查询,因为那样你根本不需要转义。
2
是的,这将是一个问题。
例如:
如果一个是“乔的家”,第一个电话会产生“乔\之家”,第二个会产生“乔\\\之家”,节约反斜杠在数据库中。
这与Web服务器启用魔术引号时出现的问题类似,并且您在客户端的输入上使用了mysql_real_escape_string。这是通过解决:
if (! get_magic_quotes_gpc()) {
$value = mysql_real_escape_string($_GET["value"]);
} else {
$value = mysql_real_escape_string(stripslashes($_GET["value"]));
}
(对于后者例如参见http://www.php.net/get_magic_quotes_gpc)
[I编辑的答案,以反映在下面的评论更正]
+0
魔术引号与mysql(i)_(real)_escape字符串不会执行相同的转义。如果您无法禁用魔术引号,正确的方法是使用反斜杠将其除去,然后在必要时应用转义(即,如果您不能使用参数化查询)。理想情况下,您可以在一开始就摆脱魔术引号,以避免每次需要在非数据库环境中输出魔术引号。 – 2010-05-16 13:16:34
+0
因为你的分数,我不会低调,但这种做法是错误的。转义应该只是'$ value = mysql_real_escape_string($ _ GET [“value”]); ** **无条件**。摆脱魔术引语是另一件应该在查询撰写之前完成的事情,在脚本的最顶端。 – 2010-05-16 13:17:21
+0
如果在最后一个条件中没有执行'$ value = mysql_real_escape_string(stripslashes($ _ GET [“value”]));那么我将不得不倒退。 – 2010-05-16 13:17:23
1
是的,这将是一个过擒纵问题。任何逃跑都是一样的,不管它究竟是什么。举例来说,如果你想逃避字符串双引号以下共同的规则:一个转义成为
bla \"foo\"
bla "foo"
经过两次成为
bla \\\"foo\\\"
等之后。 “unescapements”的数量必须与“擒纵系统”的数量完全匹配。您可以在某些网站上看到此问题的表现形式,这些网站超出了文本字段中的某些字符,因此输出时简单的撇号变为\'。
0
是的,它的确与众不同:
$string = "I'm Chuck!";
mysql_escape_string($string); // I\'m Chuck!
mysql_escape_string(mysql_escape_string($string)); // "I\\\'m Chuck!
8
正确的地方mysql_real_escape是您发送的查询保存数据之前。 脚本中的其他任何地方都是主要的设计缺陷。
这当然应该最好在一个自己的db级中。
+0
有史以来最伟大的一点!我应该自己记下它。 – 2010-05-16 13:28:59
+0
这是正确的地方,但不是解决问题的最佳方式。 – 2010-05-16 13:42:37
+0
@Blair小心解释一下?什么问题和什么是最好的? – 2010-05-16 13:47:07
相关问题
- 1. 结合不止一次?
- 2. AlarmManager设置不止一次?
- 3. Rivets.js绑定不止一次
- 4. jQuery不止一次点击
- 5. JProgressBar的setString不止一次
- 6. C++不止一次返回?
- 7. MVC3写@rendersection不止一次
- 8. 不止一次执行StoredProcedure
- 9. chrome.tabs.onUpdated.addListener不止一次触发
- 10. 不止一次取消context.Context?
- 11. NHibernate:DetachedCriteria不止一次嵌套
- 12. 防止绑定功能不止一次
- 13. 防止跳跃不止一次
- 14. 让一个按钮submittable不止一次
- 15. 不止一次使用同一分支
- 16. 而不删除项目不止一次
- 17. 运行js函数一次发射时不止一次
- 18. Java JOptionPane.showInputDialog()当代码只说一次时不止一次调用
- 19. Android - 不止一次绑定服务
- 20. Box2D的碰撞beginContant occurrs不止一次
- 21. Event Handler不止一次执行
- 22. 寻求不止一次表达式
- 23. JNI加载库不止一次
- 24. OpenGL纹理ID不止一次生成
- 25. 内容属性不止一次设置
- 26. 的Joomla菜单锯齿不止一次
- 27. HTML5音频缓存 - 不止一次?
- 28. 不止一次为Firebase下载Googleservices-info.plist
- 29. Execute Effect.Move不止一次在原型
- 30. jquery函数调用不止一次
为什么不试试它并将结果打印出来? – 2010-05-16 13:13:23
'mysql_real_escape_string'不是幂等函数。 – Gumbo 2010-05-16 13:32:23