如果我在MySQL 5.3中使用预准备语句,我是否仍然需要使用mysql_escape_string来避免SQL注入攻击?
浏览 1提问于2012-03-02得票数 2
回答已采纳
下面的脚本将一组csv文件加载到mysql数据库中。我试图在循环中执行此函数,但名为return的mysql表字段导致脚本认为它应该执行函数return。
对于mysql,返回的` around用于转义它,它是mysql的关键字。
for f in *.txt;
do
mysql -uroot -ppassword -e "LOAD DATA INFILE '$f' INTO TABLE info FIELDS TERMINATED BY ',' LINES TERMINATED BY '\n' (`return`,`id`,`fi
浏览 0提问于2012-12-22得票数 5
回答已采纳
1回答
这是我使用的代码:
<?php
include "global.php";
$query = "SELECT * FROM posts WHERE `approved`='1' ORDER BY time DESC";
$res = mysql_query($query) or die(mysql_error());
$xml_output = "<?xml version=\"1.0\"?>\n";
$xml_output .= "<rss version=\"2.0\
浏览 0提问于2011-03-06得票数 0
回答已采纳
2回答
我有一个Ajax调用:
$('#directory_select_form').submit(function(e) {
$('#loader').show();
$('#order_number_submit_btn').prop('disabled', true);
e.preventDefault();
$.ajax({
url: 'includes/confirmation_emails/process_directory_requ
浏览 6提问于2019-11-13得票数 0
回答已采纳
背景:
用户提交以下数据firstName
我使用mysql_real_escape_string转义用户的数据,并将其存储在MySQL内存表(table1)中。
PHP每5分钟运行一次,然后将此数据选择到PHP数组中(出于复制原因),并以InnoDB格式(table2)对相同的表执行以下INSERT命令:
INSERT INTO `table2` (`id`,`firstName`) VALUES ('1','aaa');
问题:
如果用户用单引号' (即"John's“)发送数据,则在保存时对其进行转义,但不保存转
浏览 4提问于2014-01-23得票数 0
回答已采纳
我可以使用GRANT ALL PRIVILEGES ON a*.* TO 'my_user'@'%' WITH GRANT OPTION;吗?
我只希望用户只能访问以"my_prefix_“开头的所有数据库,而不是例如"mysql”。
浏览 0提问于2011-05-13得票数 40
回答已采纳
3回答
试图将序列化的字符串保存到SQL中,但是由于引号,我在取消序列化时遇到了问题。
例如,字符串是“te‘’st”,在序列化之后
s:5:"te'st";
但是要将它保存到SQL中,我们需要添加斜杠,我正在这样做。
serialize(addslashes($string))
之后,在我们的MySQL db中
s:6:"te'st";
这就是问题所在。s:6意味着我们有6个符号字符串,但是我们的“te‘it”只有5,所以当我们试图取消它时,我们会出错。
如何解决这个问题?尝试过htmlspecialchars和mysql_real_escape_st
浏览 8提问于2012-11-24得票数 5
回答已采纳
1回答
又是Reg ex。
尝试运行like SQL查询:
mysql_query("SELECT * From tablename WHERE somthing LIKE '%id|length:3:\"{$id}\"%'");
问题是长度值将是未知的,只有ID。
当然,我可以使用strlen($id)并执行以下操作:
$len = intval(strlen($id));
mysql_query("SELECT * From tablename WHERE somthing LIKE '%id|length:{$len}:\"
浏览 3提问于2012-01-09得票数 0
回答已采纳
我正在尝试通过这个ElasticSearch在windows 7上集成MYSQL。
我已完成以下步骤:
1:
C目录中的下载和解压缩
2:
在CMD ./bin/plugin url 上运行以下命令
3:
从MYSQL网站下载MYSQL连接器-连接器-java-5.1.33.zip。
解压缩并复制mysql-连接器-java-5.1.33-bin.jar文件。
将其放入C:\elasticsearch-1.3.4\plugins\jdbc中
我已经查过了插件目录中有两个文件
elasticsearch-river-jdbc-1.3.4.4.jar
mysql-c
浏览 15提问于2014-12-08得票数 3
我使用PDO读取/输入MySQL数据,以防止SQL注入。
$stmt = $DBH->prepare("SELECT * FROM T_Users WHERE User_Name = :UN");
$stmt->bindParam(':UN', $user_name);
$stmt->execute();
在数据库中输入字符或在浏览器中显示数据库中的数据之前,有什么原因需要对字符进行转义吗?恶意的人是否可以通过将JavaScript代码记录到我的数据库中来利用我的网站或其他用户?
谢谢!
浏览 0提问于2016-04-18得票数 0
当我将这种类型的数组值直接插入Mysql数据库时,会出现如下错误
#1064 -您的SQL语法有错误;请检查与您的MySQL服务器版本相对应的手册,以便在第1行正确使用“23:09Z,36840bd430637,成功”,85.0,11457922,10.02,美元,X,M,59106737WV 831‘。
我的查询是
INSERT INTO `transaction`(TIMESTAMP, CORRELATIONID, ACK, VERSION, BUILD, AMT, CURRENCYCODE, AVSCODE, CVV2MATCH, TRANSACTIONID) VALUES (
浏览 3提问于2014-06-26得票数 0
4回答
我有以下select语句:
$res = mysql_query("select * from Table where Name='{$_REQUEST['name']}'");
但是,由于这种查询易于SQL注入,因此我使用一种更安全的方式进行选择:
$escaped_name=mysql_real_escape_string($_REQUEST['name']);
$res = mysql_query("select * from Table where Name='{$escaped_name}'
浏览 8提问于2010-11-09得票数 1
回答已采纳
1回答
我使用AJAX将用户的输入发送到PHP脚本。PHP脚本显示来自MySQL表的记录。
如果用户输入通配符(%),则列出数据库中的所有记录。
从编码的角度来看,这可以吗?应该允许使用%字符吗?还是我的代码错了?
我真的不在乎用户的体验,实际上这可能是一个很好的特性,但是我想知道这是否是准备好的语句的正常行为。
...
$stmt = $dbh->prepare("SELECT * FROM tblStudent where lastNameStudent LIKE ?");
$stmt->bindParam(1, $lastname, PDO::PARAM_STR);
浏览 2提问于2013-07-25得票数 0
回答已采纳
3回答
MYSQL插入特定类型的文本时出现问题
例如,当我尝试插入以下内容时:
INSERT INTO `Attacks_key`
(`Event_Key` ,`Variable` ,`Value` ,`Impact` ,`Tags`)
VALUES
('111', 'REQUEST', ' mysql_real_escape ', '222', 'xss, csrf, id, rfe, lfi');
它已插入,但当我尝试插入以下内容时:
INSERT INTO `Attacks_key`
(`Ev
浏览 1提问于2012-07-11得票数 0
回答已采纳
这是我的代码--我不能让它工作:
<?php require_once('../Connections/User.php'); ?>
<?php
if (!function_exists("GetSQLValueString")) {
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")
{
if (PHP_VERSION < 6) {
$theValue
浏览 2提问于2011-02-06得票数 0
回答已采纳
2回答
我读了这篇关于在DB中存储图像的教程。在本教程中,作者在插入:之前对二进制数据中的特殊字符进行了转义(使用addslashes,虽然mysql_real_escape_string更可取-但这是另一个问题)。
关键是,在显示数据时,他只显示存储的数据:
我的问题:
1)即使对于二进制域类型(blob),我们也需要转义特殊字符吗?
2)如果是这样,那么为了正确显示图像,我们不需要再次对字符进行“取消转义”吗?(如果是这样,最好的方法是什么。对效率有什么看法吗?对于大图像:转义和取消转义可能是一项很大的开销?)
或者我对转义的理解是完全错误的(转义只影响查询,而不影响插入/存储的最终数据?)。
谢
浏览 4提问于2010-12-31得票数 5
回答已采纳
在我的代码中,我尝试将mysql_real_escape_string转换为PDO语句。有没有人有关于如何用PDO编写mysql_real_escape_string的提示?
我在两行代码中使用mysql_real_escape_string:$userName =mysql_real_escape_string($_POST‘$userName’);$password =POST
<?php
ob_start();
session_start();
include("../database/db.php");
$userName = mysql_real_escape
浏览 2提问于2013-03-27得票数 5
我被perl中的unicode和unicode弄糊涂了。
我从MySQL db得到了这个散列。
my $hashFromDB = { "Ves\x{101}kha" => "some value" };
但我只知道这种记法的关键
my $key = "Ves\u0101kha";
如何将\uXXXX表示法转换为\x{xxx},以便可以使用键获得值。
谢谢。
浏览 1提问于2012-10-31得票数 1
回答已采纳
1回答
不接受SQL列名?
、、、
我已经创建了一个与MySQL工作台连接的SQL数据库。我有一个列,由于某些原因,我无法在查询中使用,而Workbench实际上识别了这个列。我的查询看起来如下所示:
INSERT INTO `mcfluid` (desc, type, maxcap, curcap) VALUES ('tank', 'water',1000,1000);
这并不是因为某种原因而起作用的,但当我把它改为这样时:
INSERT INTO `mcfluid` (`desc`, type, maxcap, curcap) VALUES ('tank', 'lava
浏览 1提问于2016-08-07得票数 1
回答已采纳
我需要将文档的相对路径存储到MySQL表中。问题是,当我插入以下形式的字符串时:
$urlPath ='\abc\def\fg.jpg'
在相关的列中,我得到的是,我去掉了所有的斜杠'\'条,在所有文本的前面有一个未知的符号。因此,MySQL表中的结果如下所示:
'(weird symbol)abcdeffg.jpg'
正如您所看到的,这种数据是无用的。你知道怎么解决这个问题吗?
编辑:我试过$urlPath ="\\abc\\def\\fg.jpg"和$urlPath ='\\abc\\def\\fg.jpg',
浏览 5提问于2009-09-30得票数 0
回答已采纳
就转义字符而言,我熟悉MySQL的语法。但是,由于我正在构建的Rails应用程序使用PostgreSQL,所以我很难让命令行正常运行。我正在尝试通过shell脚本运行一个基本查询,当将数据库重新设置为最新的实时数据库备份时。
例如,我试图运行的命令如下所示:
psql db_name u_name -c "UPDATE users SET encrypted_password = 'crazy_long_hash_here';"
我理解正在运行的查询的安全含义,但这是针对开发工作站的,在这里我们需要能够以不同类别的用户登录来测试不同的功能。
运行此命令时遇到的问
浏览 0提问于2015-11-12得票数 1
回答已采纳
4回答
我想知道这条MySql语句是否会正确执行,
"SELECT sum(price) FROM products WHERE productid IN (SELECT productid FROM shoppingcart WHERE sessionid=".$this->$sessionid.")"
如果没有,请给我指出我哪里错了。
谢谢
浏览 2提问于2010-05-26得票数 0
回答已采纳
我有另一个关于我的数据库的查询,我正在使用Codeigniter,当我使用span获取数据并将其保存到我的MySQL数据库时,它会在数据中包含一个\n,这会导致错误。为什么会这样呢?问题就在这里
VALUES('\n16', 'SMDC')`
但我只在我的列中将值设置为span时获得了值16。
浏览 1提问于2014-02-17得票数 0
在mysql表名(user_login)中,我有login_name和password这样的字段。我输入的密码是abc,密码是/‘(像\/’这样的特殊符号) .And我的查询是
select password from user_login where password like '/'‘和I got SQL语法错误
浏览 1提问于2010-02-02得票数 2
3回答
故事是这样的,我试图将一个JSON字符串保存到我的数据库中,但是每个希伯来字母都在转换为"\u05d4“,这应该是希伯来文(ה)中的字母"He”。
英语是正确编码的
我已经做了研究,发现这种编码是JAVA或C/C++字符编码,但是为了编辑方便,我找不到一种方法将它作为常规的UTF-8字符存储在我的数据库中。
获取数据并显示在我的页面上是很好的(希伯来语,正如它应该的那样),但是无论我试图抛出什么函数来解决这个问题,我的数据库中的数据都是编码的.
示例:
\u05d0\u05d9\u05e4\u05d4 \u05ea\u05e8\u05e6\u05d4 \u05e9\u05d4\
浏览 10提问于2016-03-21得票数 4
回答已采纳
我想从我的ASP.NET应用程序向MySQL发出以下查询
SELECT * FROM responses WHERE field_id LIKE '3\_%'
换句话说,我正在寻找第二个字符是下划线文字字符的记录。
模型设计器生成的代码如下所示:
public virtual RiskAnalysis.responsesDataTable GetResponseGroupForAnalysis(int raid, string fieldid) {
this.Adapter.SelectCommand = this.CommandCollection[2];
浏览 2提问于2012-11-07得票数 1
回答已采纳
我有一个应用程序,如果将动态mysql查询与mysql (mysqli)实际转义字符串结合使用,它将大大受益。如果我通过mysql real just运行从用户收到的所有数据,它会像使用mysql准备好的语句一样安全吗?
浏览 2提问于2011-01-23得票数 10
回答已采纳
我的sql文件大约是10 My,很难逐一找到和替换所有的' (撇号)。当我通过phpmyadmin将sql文件作为zip文件导入mysql数据库时,它会找到所有的撇号,并要求我修复它们。如何成功导入?有没有一种快速的方法来查找和替换所有的'?谢谢
文件是什么样子的
这是一个Wordpress站点,所以它insert的wp_comments如下所示
in trade so here's an opportunity
it's up to them
website's information section
等
浏览 2提问于2013-12-01得票数 0
我总是在使用会话之前为它们做一个清理方法,示例如下
mysql_real_escape_string($_SESSION['username']);
会话仅将该id与存储在服务器上的物理文件相关联。客户端如何利用此会话进行恶意活动?那么是否有必要在使用会话之前清理它?
浏览 0提问于2011-06-17得票数 3
我的C项目需要使用MySQL,所以有代码:#include "mysql.h“
我只是不知道该在哪里添加包含路径,或者我错过了哪个关键点,我想我已经完成了。当我使用(Windows)启动进行调试时,它可以正常工作。但是当我选择"gcc.exe“时,它总是得到"mysql.h:没有这样的文件或目录”,请帮助!我尽我所能去做,但仍然会犯这个错误。
这是我的c_cpp_properties.json:
{
"configurations": [
{
"name": "Win32&
浏览 1提问于2020-12-05得票数 0
2回答
我正在为我的朋友建立一个整洁的网站,我注意到这个网站自动避开了文本框、文本框等的输入。
这是否意味着当我想要在mysql数据库中插入数据时,我不需要添加mysql_real_escape_string,我可以让它保持原样?
或者这是一个潜在的安全风险?
浏览 2提问于2013-06-16得票数 0
回答已采纳
我目前正在使用库将我的应用程序连接到一个MySQL实例。在阅读了我发现的其他一些StackOverflow问题和文章后,它听起来像是node-mysql在每次调用query()方法时自动转义不安全的字符。但是在一些代码片段中,我还看到在query()方法中调用了mysql.escape()和mysql.escapeId()。
似乎当query()自动转义一些危险字符时,您仍然应该调用mysql.escape()和mysql.escapeId()来转义其他危险字符。
这是正确的吗?如果是,query()方法会自动保护哪种类型的SQL注入攻击,以及通过调用mysql.escape()和mysql.
浏览 1提问于2014-08-05得票数 9
回答已采纳
2回答
我听说在数据库中保存图像是一个非常糟糕的想法,所以我决定保存图像的路径。这里的问题是我找不到一种方法来显示图像。我试过了
<?php
$con = mysql_connect("localhost","root","mypassword");
mysql_query('SET NAMES UTF8');
if (!$con)
{
echo "problem with connection" .mysql_error();
}
?>
<?php
mysql_select_db("
浏览 3提问于2012-05-28得票数 0
回答已采纳
2回答
有没有一种内置的方法可以使用JDBC来转义java中的用户输入?类似于php版本的mysql_real_escape()函数。验证输入的最佳方法是什么?
浏览 0提问于2008-09-28得票数 1
回答已采纳
我正在使用felixge的MySQL节点驱动程序。在文件之后
字符串应在传递到MySQL之前进行转义,以避免注入附加。
我的问题是:在从MySQL加载数据后,数据是否应该在某种程度上“未转义”?
目前,我在数据完整性方面有一个问题:我从包含换行符的字符串开始。(使用console.log(string)打印显示控制台中的换行符)。转义字符串后,将其保存到MySQL数据库中。但是,在将字符串加载回内存后,console.log(string)将显示转义代码\n而不是换行符。
浏览 3提问于2013-10-04得票数 3
回答已采纳
嗨,我有一个关于我写数据库的问题:
我刚接触mysql_escape_string是因为一个朋友告诉我的。由于我使用的是mysql_escape_string,所以它不再写入我的数据库。
代码如下:
////////////////////////////////////////////////////////////////
$iets = $_POST['aantal'] + $_POST['begin'];
for ($i = $_POST['begin'] ; $i < $iets ; $i++){
$rows =
浏览 2提问于2012-12-14得票数 0
回答已采纳
1回答
我在将像这个"'mysql'"这样的字符串转换为"mysql"时遇到了一些问题。对于这个特定的情况,我能够使用sub
sub("'\'mysql\''";"mysql")
但是我需要一个更通用的jq规则来删除单引号,例如"'mystring'" => "mystring"。
浏览 10提问于2021-11-04得票数 0
回答已采纳
错误是:
错误:您的SQL语法有错误;请检查与您的MySQL服务器版本相对应的手册,以获得接近‘360-16 s的正确语法(pa_name、hd1、hd1_c、sf2、sf2_c、cc3、cc3_c、l4、l4_c、dsd5、dsd5_c、mt’在第1行。
剧本是:
<?php
include("../Includes/e360Vars.php");
include("../Includes/dbOpen1.php");
$pa_name = mysql_real_escape_string($_POST['pa_name']
浏览 4提问于2016-09-05得票数 0
4回答
我不明白为什么我的MY_SQL插入不能工作。
<?php
$sub = $_POST['submit'];
if($sub)
{
$title = $_COOKIE['newstitle'];
$body = $_COOKIE['newsbody'];
$sneak = $_COOKIE['newssneak'];
$date = date("Y-d-m");
$postedby = $_COOKIE['userlogin'];
$connect = mysql_connect(
浏览 4提问于2011-03-07得票数 2
My SQLite3 table consists the following data:
ID site_name site_type_code site_type cache_type php letsencrypt mysql
---------- ---------- -------------- ---------- ---------- ---------- ----------- ----------
17 four.com php PHP d
浏览 5提问于2017-08-02得票数 0
回答已采纳
我发现了一个这样的代码:
<?php
class myClass {
function myFunc(&$par1) {
// [...]
$val2 = $par1->field1;
// [...]
$val3_escaped = mysql_real_escape_string($someVar2);
$cmdInsert = "insert into tab1(col1,col2,col3, col4) values(1,'$val2&
浏览 11提问于2017-06-28得票数 0
回答已采纳
2回答
我从POST方法中提取变量,并使用Joomla2.5在MySQL上查询它们。
最安全的方法是什么?目前,我正在使用JRequest::getVar和mysql_real_escape_string。是对的吗?
$_POST和mysql_real_escape_string
$password =mysql_real_escape_string($_POST“pwd”);
JRequest::getVar和mysql_real_escape_string
( mysql_real_escape_string(JRequest::getVar('pwd',‘,$passwo
浏览 4提问于2013-05-07得票数 7
回答已采纳
我正在尝试读写数据库。以下是我到目前为止拥有的代码:
$mysql = mysqli_connect("example.com", "johndoe", "abc123"); // replace with actual credidentials
$username = mysqli_real_escape_string("username");
$sql = "CREATE DATABASE IF NOT EXISTS dbname";
if (!mysqli_query($mysql, $sql)) {
浏览 1提问于2014-02-28得票数 1
2回答
嗯,在我的php页面上,我是这样转义的:
$title = "Jack's Long 'Shoes'";
$title = mysql_real_escape_string($title);
$go = mysql_query("INSERT INTO titles (title) VALUES '$title'");
然后,当我通过phpmyadmin查看此数据时,数据显示为转义前的状态,即Jack's Long 'Shoes'
我的印象是它看起来像:Jack\s Long \Shoes\
斜杠真
浏览 0提问于2012-03-18得票数 2
回答已采纳
2回答
如何将我的MySQL函数转换为PDO?我已经通过PDO调用成功地连接到我的数据库,但是我的脚本仍然在使用MySQL函数。
function query_basic($query)
{
$result = mysql_query($query);
if ($result == FALSE)
{
$msg = 'Invalid query : '.mysql_error()."\n";
echo $msg;
}
}
function query_numrows($query)
{
$resul
浏览 0提问于2013-10-19得票数 0
3回答
我写了一些PHP代码,允许我创建一个html下拉框,然后选择应该是什么值。代码是:
$role_drop = "<select name='role'>";
$role_drop .= "\r\n<option value='Resident Assistant'>Resident Assistant</option>";
$role_drop .= "\r\n<option value='Community Assistant'>Community
浏览 2提问于2009-07-30得票数 0
回答已采纳
我对mysql_real_escape_string()函数有点困惑,
我在下面有这个数组,并用mysql_real_escape_string()函数过滤它,
$postFields = array('company', 'type');
$postArray = array();
foreach($postFields as $postVal){
$_POST[$postVal] = array_map("mysql_real_escape_string", $_POST[$postVal]);
$postArray[$pos
浏览 2提问于2012-07-03得票数 1
回答已采纳
这与PHP、Mysql和Html的文本区域有关。
我想将用户的输入从html的文本区域转储到我的mysql数据库中。这种情况是,如果用户在文本本身中有分号,mysql将以显而易见的原因拒绝insert命令。我想知道的是,有什么方法可以强制mysql接受用户的输入,而不管它的语法如何?
非常感谢:)
浏览 0提问于2010-10-20得票数 1
我将单个幻灯片的内容存储在一个mySQL表中,这些幻灯片将显示在一个页面上。
下面是存储在mySQL表中的HTML/PHP代码示例:
<p>Welcome <?php echo $userData['fname']; ?>!</p>
<p>You made it to the first slide!</p>
我使用以下代码在PHP中检索幻灯片的内容:
<?php
$fetchedPageSlideData = mysql_query("SELECT * FROM pageSlides WHERE
浏览 2提问于2011-11-16得票数 1
回答已采纳
我试图在shell脚本中运行ssh命令,它将在远程服务器上自动创建数据库、用户、密码等:
password=`date +%s|sha256sum|base64|head -c 32`
read -p "Enter staging folder name... e.g. xxxxxxxx: " stagingdirectory
echo $stagingdirectory
read -p "Give the name for the database (this will be used in mysql)" dbname
echo $dbname
read
浏览 1提问于2017-12-14得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
