关于Mysql查询带单引号及插⼊带单引号字符串问题
当数据库字段ID为整型时
select ID from table where ID=1
select ID from table where ID='1'
两条sql都是可以的,但是第⼀条sql不⽤进⾏隐式转换,速度上⽐第⼆条sql略快⼀些
今天在向mysql数据库中插⼊带单引号字符串的时候,什么错也没报就是语句执⾏失败,后来才知道,单引号等要转义,可以使⽤函数:mysql_real_escape_string和addslashes函数;
以下做个介绍:往数据库中插⼊数据之前是要先转义的,在插⼊数据库.
本⽂很好的说明了addslashes和mysql_real_escape_string的区别,虽然国内很多PHP coder仍在依靠addslashes防⽌SQL注⼊,我还是建议⼤家加强中⽂防⽌SQL注⼊的检查。addslashes的问题在于⿊客可以⽤0xbf27来代替单引号,⽽addslashes 只是将0xbf27修改为0xbf5c27,成为⼀个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes⽆法成功拦截。
当然addslashes也不是毫⽆⽤处,它是⽤于单字节字符串的处理,多字节字符还是⽤mysql_real_escape_string吧。
另外对于php⼿册中get_magic_quotes_gpc的举例:
复制代码代码如下:
<?php
if (!get_magic_quotes_gpc()) {
字段字符串去重复
$lastname = addslashes($_POST["lastname"]);
} else {
$lastname = $_POST['lastname'];
}
>
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST['lastname']进⾏检查⼀下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使⽤。否则只能⽤ mysql_escape_string ,两者的区别是:
mysql_real_escape_string 考虑到连接的当前字符集,⽽mysql_escape_string 不考虑。
addslashes() 是强⾏加;
mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;
mysql_escape_string不考虑连接的当前字符集。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。