我通过 (int)Integer
运行我所有的整数,以确保它们可以安全地用于我的查询字符串。
我还通过这个函数代码运行我的字符串:-
if(!get_magic_quotes_gpc()) {
$string = mysql_real_escape_string($string);
}
$pattern = array("\\'", "\\\"", "\\\\", "\\0");
$replace = array("", "", "", "");
if(preg_match("/[\\\\'\"\\0]/", str_replace($pattern, $replace, $string))) $string = addslashes($string);
$cleanedString = str_replace('%','',$string);
我显然返回了 $cleanedString 变量。现在我替换了 % 字符,因为它是 mySQL 的通配符,如果用户插入它们,它可能会减慢我的查询(或使它们返回不正确的数据)。我应该关注 mySQL 的任何其他特殊字符吗?
第二点,我在 mysql_real_escape_string
之后的搜索和替换有什么错误或多余的地方吗?我刚开始的时候从一个网站上得到它(如果我没记错的话)它说除了转义字符串之外你还必须使用这个搜索/替换。看起来它正在尝试删除任何以前转义的注入(inject)字符?
最佳答案
好的,我有几个意见:
神奇的引号功能是deprecated ,您的 PHP 环境永远不应启用魔术引号。所以检查它应该是不必要的,除非你设计的代码可以部署到其他客户的环境中(不明智地)启用了魔术引号。
如果您要搜索字符序列,则
preg_match()
中的正则表达式不正确。像[xyz]
这样的正则表达式匹配单个字符 x、y 或 z 中的任何一个。它与字符串 xy 或 yz 不匹配。无论如何,这是学术性的,因为我认为您根本不需要以这种方式搜索或替换特殊字符。mysql_real_escape_string()
足以转义您打算插入 SQL 字符串引号内的字符串文字。无需对其他引号、反斜杠等进行字符串替换。%
和_
是 SQL 中的通配符 仅 当使用LIKE
表达式进行模式匹配时.如果您只是与相等或不等运算符或正则表达式进行比较,那么这些字符没有任何意义。即使您正在使用LIKE
表达式,也没有必要为了防御 SQL 注入(inject)而对这些字符进行转义。如果您想将它们视为文字字符(在这种情况下使用反斜杠转义它们)或LIKE
表达式中的通配符(在这种情况下将它们保留在其中),则由您决定。当您将 PHP 变量插入到 SQL 表达式中以代替文字字符串值时,以上所有内容都适用。如果使用 bound query parameters 则根本不需要转义而不是插值。绑定(bind)参数在普通“mysql”API 中不可用,但仅在“mysqli”API 中可用。
另一种情况是您插入 PHP 变量来代替 SQL 表名、列名或其他 SQL 语法。在这种情况下你不能使用绑定(bind)参数;绑定(bind)参数仅 代替字符串文字。如果您需要使列名称动态化(例如将
ORDER BY
列为用户偏好的列),您应该 delimit the column name带有反引号(在 MySQL 中)或方括号 (Microsoft) 或双引号(其他标准 SQL)。
所以我想说您的代码可以简化为以下内容:
$quotedString = mysql_real_escape_string($string);
那是如果您要使用字符串进行插值;如果您打算将其用作绑定(bind)参数值,则更简单:
$paramString = $string;
关于php - MySQL/PHP - 转义字符可能会降低我的数据库速度(或使其意外执行),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/339180/