Php Mysql真实转义字符串其他问题
可能重复:Php Mysql真实转义字符串其他问题,php,mysql,sql-injection,Php,Mysql,Sql Injection,可能重复: 考虑一下这个片段 *mysqltest.php* $user_id= $_GET['user_id']; $user_id= mysql_real_escape_string($user_id); $query = "SELECT * FROM people WHERE uid=".$user_id; echo $query; //then execution .. 现在,当我们将这个脚本称为“mysqltest.php?user_id=56或1”时, 问题是, 从uid=5
考虑一下这个片段
*mysqltest.php*
$user_id= $_GET['user_id'];
$user_id= mysql_real_escape_string($user_id);
$query = "SELECT * FROM people WHERE uid=".$user_id;
echo $query;
//then execution ..
在这些情况下,如果不使用pdo或预先准备好的语句,是否还有其他解决方法?mysql\u real\u escape\u字符串没有“其他问题” 大多数人混淆了这个功能,认为它的目的是通过“清理”用户输入来保护他们免受注射。
这肯定是错误的。
mysql\u real\u escape\u字符串用于格式化字符串,使其适合SQL查询。这就是全部。作为一种副作用,它也使注射变得不可能 因此,每次要将字符串动态添加到查询中时,它们都必须遵循两种字符串格式规则,无论数据源是什么:
- 用引号将数据括起来
- 转义其中的特殊字符
因此,对于给定的示例,您可以将数据视为字符串,正如删除的答案中所建议的那样
$user_id= $_GET['user_id'];
$user_id= mysql_real_escape_string($user_id);
$query = "SELECT * FROM people WHERE uid='$user_id'";
在这种情况下,唯一的解决方案是手动将数据转换为所需的格式
$user_id= $_GET['user_id'];
$user_id= intval($user_id);
$query = "SELECT * FROM people WHERE uid=$user_id";
手动格式化数据很无聊。
最好让一些代码来为您做这件事,让代码既短又安全是数字($user\id)预匹配(“/^[0-9]+$/”,$user\id)您是否在调用数据库调用之前寻找一种验证数据的方法?@everlast您不需要最终用户为某些
user\idintvalmysql\u real\u escape\u string