L'uso mysql di addslashes()

Question

Eventuali duplicati:
What does mysql_real_escape_string() do that addslashes() doesn't?

Se si sta cercando di evitare che l'iniezione SQL, la prima cosa che si dovrebbe fare è l'uso mysql_real_escape_string. È possibile iniettare un database usando addslashes()?

Answer 1

addslashes è l'equivalente approssimativo di str_replace($str, "'", "\\'"). Puoi aggirarlo banalmente con un numero qualsiasi di sequenze Unicode che valutano fino a ' in mysql, ma sembrano completamente diverse da addslashes().

Mysql_real_escape_String() d'altra parte, utilizza l'effettiva funzione interna di escape di mysql, che sa esattamente cosa cercare e aggiusta per renderlo "sicuro" per mysql. Ciò che funziona per mysql potrebbe non funzionare per un altro database, poiché ognuno ha una semantica e requisiti di escape leggermente differenti, ma se si sta lavorando con mysql, la "vera stringa di escape" è la strada da percorrere.

Answer 2

Ed ancora è possibile se si aggiungono i dati non quotate a una tabella, vale a dire

SELECT * FROM tbl WHERE id = 10 

Qui si vuole fare in modo che questo ID è esattamente una cifra

$id = intval($_GET[ 'id' ]) ; 
$query = "SELECT * FROM tbl WHERE id = {$id}" ; 
$result = mysql_query($query) ; 
// ... bla-bla 

Answer 3

Questo è ciò che accade quando aggiungi solo barre in una lingua che comprende codifiche unicode (o configura le codifiche durante l'invio della query): http://bugs.mysql.com/bug.php?id=22243

Fondamentalmente è più sicuro sapere cosa t Il database si aspetta in termini di codifica - in questo modo non finirai per sfuggire a metà del personaggio per sbaglio, o lascerai la parte successiva di un personaggio senza caratteri di escape.