mysql_real_escape_string() 函數轉義 SQL 語句中使用的字符串中的特殊字符。
mysql_real_escape_string(string,connection)
例子一:
<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con) { die('Could not connect: ' . mysql_error()); } // 獲得用戶名和密碼的代碼 // 轉義用戶名和密碼,以便在 SQL 中使用 $user = mysql_real_escape_string($user); $pwd = mysql_real_escape_string($pwd); $sql = "SELECT * FROM users WHERE user='" . $user . "' AND password='" . $pwd . "'" // 更多代碼 mysql_close($con); ?>
例子二:
數據庫攻擊。本例演示如果我們不對用戶名和密碼應用 mysql_real_escape_string() 函數會發生什么:
<?php $con = mysql_connect("localhost", "hello", "321"); if (!$con) { die('Could not connect: ' . mysql_error()); } $sql = "SELECT * FROM users WHERE user='{$_POST['user']}' AND password='{$_POST['pwd']}'"; mysql_query($sql); // 不檢查用戶名和密碼 // 可以是用戶輸入的任何內容,比如: $_POST['user'] = 'john'; $_POST['pwd'] = "' OR ''='"; // 一些代碼... mysql_close($con); ?>
那么 SQL 查詢會成為這樣:
SELECT * FROM users WHERE user='john' AND password='' OR ''=''
這意味着任何用戶無需輸入合法的密碼即可登陸。
例子三:
預防數據庫攻擊的正確做法:
<?php function check_input($value) { // 去除斜杠 if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // 如果不是數字則加引號 if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; } return $value; } ;">
//connect
$con = mysql_connect("localhost", "hello", "321"); if (!$con) { die('Could not connect: ' . mysql_error()); } // 進行安全的 SQL $user = check_input($_POST['user']); $pwd = check_input($_POST['pwd']); $sql = "SELECT * FROM users WHERE user=$user AND password=$pwd"; mysql_query($sql); mysql_close($con); ?>