mysql使用addslashes()

Question

可能重复：

What does mysql_real_escape_string() do that addslashes() doesn't?

如果您试图阻止sql注入，那么首先要做的就是使用mysql_real_escape_string。是否可以使用addslashes()注入数据库？

Answer 1

加法斜杠是str_replace($str, "'", "\\'")的粗略等价物。您可以通过计算到mysql中的'的任意数量的unicode序列来绕过它，但是看起来与addslashes()完全不同。

另一方面，Mysql_real_escape_String()使用实际的内部mysql转义函数，它确切地知道要查找和修复什么才能使mysql“安全”。mysql的工作方式可能不适用于另一个数据库，因为每个数据库的转义语义和要求略有不同，但是如果您正在使用mysql，那么“真正的转义字符串”才是可行的。

Answer 2

当您只在理解unicode编码的语言中添加斜杠(或者在发送查询时混合编码)时，会发生这样的情况：http://bugs.mysql.com/bug.php?id=22243

基本上，知道数据库在编码方面期望什么是更安全的--这样您就不会意外地转义字符的一半，或者让字符的后面部分没有转义。

Answer 3

但是，如果将未引用的数据添加到表中，也是可能的，即

SELECT * FROM tbl WHERE id = 10

在这里，您需要确保这个id确实是一个数字。

$id = intval( $_GET[ 'id' ] ) ;
$query = "SELECT * FROM tbl WHERE id = {$id}" ;
$result = mysql_query( $query ) ;
// ... bla-bla