mysql_real_escape_string VS addslashes

Question

Kann jemand etwas Licht auf die Unterschiede zwischen diesen zwei Funktionen vergossen hat, von der PHP-Handbuch

addslashes: eine Zeichenfolge zurück mit Schrägstriche vor Zeichen, die in Datenbankabfragen angegeben werden müssen, usw. Diese Zeichen sind Apostroph ('), doppelte Anführungszeichen ("), Backslash() und NUL (das NULL-Byte)

mysql_real_escape_string. mysql_real_escape_string() ruft MySQL-Library-Funktion mysql_real_escape_string, die Schrägstriche auf die folgenden Zeichen prepends: \ x00, \ n, \ r, \, ', "und \ x1a.

von dem ich den Hauptunterschied erhalte, ist \ x00, \ n \ r \ x1a, die addslashes nicht entgeht, können Sie mir sagen, was die Bedeutung davon ist?

dank

Answer 1

Was Sie zitieren ist wahrscheinlich aus dem doc, aber soweit ich es nicht unbedingt wahr wissen.

addslashes fügt den häufig störenden Zeichen Schrägstriche hinzu. mysql_real_escape_string entkommt, was auch immer MySQL zu entkommen braucht. Dies kann mehr oder weniger Zeichen als was addslashes kümmert sich um.

Auch mysql_real_escape_string wird nicht unbedingt Schrägstriche hinzufügen, um zu entkommen. Während ich denke, dass es funktioniert, wenn Sie es so tun, fliehen aktuelle Versionen von MySQL, indem Sie zwei von ihnen zusammensetzen, anstatt einen Schrägstrich davor zu setzen.

Ich glaube, Sie sollten immer die Escape-Funktion Ihres Datenproviders anstelle von addslashes verwenden, weil addslashes entweder zu viel oder nicht genug Arbeit für den Zweck, den Sie verwenden, tun kann. Auf der anderen Seite, mysql_real_escape_stringweiß was zu tun ist, um eine Zeichenfolge für das Einbetten in einer Abfrage vorzubereiten. Auch wenn sich die Spezifikationen dahingehend ändern, wie man den Dingen entkommen kann und plötzlich keine Backslashes mehr verwendet werden sollten, funktioniert Ihr Code immer noch, weil mysql_real_escape_string davon Kenntnis haben wird.

Answer 2

Beide ignorieren und nur parametrisierte Abfragen verwenden. Es sei denn, Sie mögen Injektionsangriffe.

Answer 3

mysql_real_escape_string() berücksichtigt auch den Zeichensatz, der von der aktuellen Verbindung zur Datenbank verwendet wird.

Die PHP-Funktion mysql_real_escape_string() verwendet die MySQL-C-API-Funktion mit dem gleichen Namen: http://dev.mysql.com/doc/refman/5.1/en/mysql-real-escape-string.html

Auch addslashes() Versus mysql_real_escape_string() von den bekannten PHP-Sicherheitsexperten Chris Shiflett, für eine Demonstration zu lesen, dass Sie SQL-Injection-Angriffe zu bekommen, auch wenn Sie Verwenden Sie addslashes().

---

Andere empfehlen die Verwendung von Abfrageparametern, und Sie müssen dann keine dynamischen Werte meiden. Ich empfehle das auch, aber in PHP müssten Sie zu PDO oder ext/mysqli wechseln, weil die einfache ext/mysql API Abfrageparameter nicht unterstützt.

Es kann auch Fälle geben, in denen Sie keine Abfrageparameter für einen dynamischen Zeichenfolgenwert verwenden können, z. B. Ihr Suchmuster in einer Volltextsuche.

Answer 4

Es gab eine Reihe von Geschichte mit mysql_escape_string und mysql_real_escape_string.Sie waren beide Versuche, einen "allgemeinen" Fluchtmechanismus bereitzustellen, der die Wahrscheinlichkeit von SQL-Injektionsangriffen minimieren würde.

mysql_real_escape_string und addslashes sind ok, wenn sie das sind, was Sie wirklich brauchen - aber sie sind es wahrscheinlich nicht.

Wie @afrazier sagt, Sie prepared statements

Answer 5

Statt vorbereiten quer "ies mit PDO können Sie diese verwenden, während Ihre Anwendung MySQLi verwendet (Vorsicht! "Verwenden sollte ich" an und von Mysql")

$nick = $connect->real_escape_string($nick); 
$nick= addcslashes($nick, '%_'); 

$pass = $connect->real_escape_string($pass); 
$pass = addcslashes($pass, '%_');