4

我通过 a 运行所有整数,(int)Integer以使它们可以安全地用于我的查询字符串中。

我还通过这个函数代码运行我的字符串:-

if(!get_magic_quotes_gpc()) {
           $string = mysql_real_escape_string($string);
        }

$pattern = array("\\'", "\\\"", "\\\\", "\\0");
$replace = array("", "", "", "");
if(preg_match("/[\\\\'\"\\0]/", str_replace($pattern, $replace, $string))) $string = addslashes($string); 


$cleanedString = str_replace('%','',$string);

我显然返回了 $cleanedString 变量。现在我替换 % 字符,因为它是 mySQL 的通配符,如果用户插入它们,它可能会减慢我的查询(或使它们返回不正确的数据)。我应该关注 mySQL 的任何其他特殊字符吗?

其次,在 ? 之后的搜索和替换有什么错误或多余的mysql_real_escape_string吗?我刚开始时从一个网站上得到它,并且(如果我没记错的话)它说除了转义字符串之外,您还必须使用此搜索/替换。看起来它正在尝试删除任何以前转义的注入字符?

4

5 回答 5

7

好的,我有几点意见:

  • 魔术引号功能已弃用,您的 PHP 环境不应该启用魔术引号。因此,检查它应该是不必要的,除非您正在设计可以部署到其他客户环境中的代码,这些客户环境(不明智地)启用了魔术引号。

  • preg_match()如果您正在搜索字符序列,则您的正则表达式不正确。正则表达式 like[xyz]匹配单个字符 x、y 或 z 中的任何一个。它与字符串 xy 或 yz 不匹配。无论如何,这是学术性的,因为我认为您根本不需要以这种方式搜索或替换特殊字符。

  • mysql_real_escape_string()足以转义您打算在 SQL 字符串中的引号内插入的字符串文字。无需对其他引号、反斜杠等进行字符串替换。

  • %并且在对表达式使用模式匹配时_才是 SQL 中的通配符。如果您只是与等式或不等式运算符或正则表达式进行比较,这些字符没有任何意义。即使您使用表达式,也无需为了防御 SQL 注入而对这些字符进行转义。如果您想将它们视为文字字符(在这种情况下使用反斜杠转义它们)或表达式中的通配符(在这种情况下只需将它们保留),这取决于您。LIKELIKELIKE

  • 当您将 PHP 变量插入 SQL 表达式以代替文字字符串值时,上述所有内容都适用。如果您使用绑定查询参数而不是插值,则根本不需要转义。绑定参数在普通的“mysql” API 中不可用,而仅在“mysqli” API 中可用。

  • 另一种情况是您插入 PHP 变量来代替 SQL 表名、列名或其他 SQL 语法。在这种情况下,您不能使用绑定参数;绑定参数代替字符串文字。如果您需要使列名动态化(例如ORDER BY用户偏好的列),则应使用反引号(在 MySQL 中)或方括号(Microsoft)或双引号(其他标准 SQL)分隔列名.

所以我想说你的代码可以简单地简化为以下内容:

$quotedString = mysql_real_escape_string($string);

那就是如果您要使用字符串进行插值;如果您要将其用作绑定参数值,则更简单:

$paramString = $string;
于 2008-12-04T00:25:19.890 回答
3

是的,我认为您那里的情况有些奇怪。

首先,我会检查魔术引号并在打开时删除斜线。这样你就得到了一个字符串,它实际上代表了你想要的信息(而不是一个用斜杠处理的字符串)。

如果您特别想删除 % 通配符,那么您可以将其转义或完全删除。在将字符串插入 SQL 查询之前,最后通过 mysql_real_escape_string 运行它,一切都会好起来的。

$string = $_POST['searchTerm'];
if (get_magic_quotes_gpc()) {
    $string = stripslashes($string);
}
$string = str_replace("%", "", $string);
$safeString = mysql_real_escape_string($string);
于 2008-12-03T23:59:54.077 回答
2

mysql_real_escape_string() 为您转义这些字符:

\x00、\n、\r、\、'、" 和 \x1a

所以你不需要自己逃避它们。如果魔术引号打开,我建议删除斜杠,然后使用 mysql_real_escape_string():

if(get_magic_quotes_gpc()) {
    $string = stripslashes($string);
}

$string = mysql_real_escape_string($string);

$cleanedString = str_replace('%','',$string);

此外,MySQL 中的下划线是单个字符的通配符,因此您可能需要对此做一些事情。

于 2008-12-04T00:01:49.207 回答
2

如果你真的担心 SQL 注入问题,你应该强烈考虑使用准备好的语句。因为在提供任何用户数据之前对 SQL 语句进行评估,所以您的代码更加安全。

参见 PDO 和 Mysqli

于 2008-12-04T01:01:44.840 回答
-1

关于第二点:
它完全是多余的,如果您通过 mysql_real_escape_string() 运行它,所有字符都已正确转义

于 2008-12-03T23:58:12.677 回答