那些遇到过的问题

PHP mysql_real_escape_string()和%字符

A-O*_*-OK 3 php mysql security sql-injection wildcard

这是什么mysql_real_escape_string()做的%(百分号)字符,以及如何安全风险的多少不代表(以及如何解决它)?

Jas*_*ary 7

mysql_real_escape_string()文档:

注意:mysql_real_escape_string()不会转义%和_.如果与LIKE,GRANT或REVOKE结合使用,这些是MySQL中的通配符.

至于安全性,除非你正在运行LIKE,GRANT或者REVOKE,这是一个非问题.LIKE可能是唯一真正关心的问题.这取决于你在这些情况下如何逃避它.

一个简单的例子:

"... LIKE '%" . mysql_real_escape_string($string) . "%' ..."
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2470 次

最近记录:

14 年,2 月 前
相关归档
PHP - 从MySQL读取单个记录的简单方法 56
PHP中的REST与RPC 39
utf8mb4_unicode_ci vs utf8mb4_bin 34
什么是最成熟/最稳定的mysql node.js模块 20
如何禁用E_STRICT 19
MYSQL 8.0 - 不支持的重做日志格式 16
H2"runscript"命令将所有表名转换为大写 10
htaccess对所有人的拒绝是多么安全 2
为什么我要将密码设为哈希码,然后保存在数据库中? 1
显示从数据库中获取的数据时,我应该调用escape_javascript吗 1
难疑归档
电话和申请有什么区别? 3012
使用Git版本控制查看文件的更改历史记录 2920
如何在Web表单字段/输入标记上禁用浏览器自动完成? 2680
如何制作一系列功能装饰器? 2647
如何在不安装Ms Office的情况下在C#中创建Excel(.XLS和.XLSX)文件? 1804
什么是智能指针,什么时候应该使用? 1730
方法和函数之间有什么区别? 1665
如何离开/退出/停用python virtualenv? 1461
.gitignore被Git忽略了 1407
如何将本地jar文件添加到Maven项目? 1053