www.mjjq.net > rEAl EsCApE string

rEAl EsCApE string

$cmd="INSERT INTO kpi_user (name,password,random) VALUES ('".mysql_real_escape_string($aaaaa)."','123','123')"; $result=mysql_query($test); 这个不是应在整个SQL语句上的

应该是php版本的问题。 mysql_escape_string 使用的版本是(PHP 4 >= 4.0.3, PHP 5) mysql_real_escape_string 使用的版本是(PHP 4 >= 4.3.0, PHP 5) mysql_real_escape_string 需要的php版本要高一些。

你用mysqli_real_escape_string()试试,另外链接mysql都用mysqli

提示告诉你了:mysql_real_escape_string()的参数必须是字符串。 unction _mysql_string($_string) {var_dump($_string); #看一下你的变量类型或者有没有接收到,估计你的变量是一个数组if (!GPC) {return mysql_real_escape_string($_string);}...

使用stripslashes函数还原试试

内容: 一般htmlspecialchars用于过滤普通文本内容的,而mysql_real_escape_string则是用于过滤查询语句sql字符串中的非法字符的(如:单引号等) 日期:2015年10月22日 18:15:01

mysql_real_escape_string:转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集. \防止在$username上加上'',\,%等进行注入; urldecode — 解码已编码的 URL 字符串,解码给出的已编码字符串中的任何 %##。返回解码后的字符串。 ...

定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 语法 mysql_real_escape_string(string,conn...

你的bugfree版本比较低.要不你就按照提示,把方法换成.mysql_real_escape_string(),这样可能会有很多这种问题出现.或者找个高版本的.

SQL的参数化是目前公认的最有效的防治sql注入的方法。 如果这种情况都还可以注入,那其他的就更没有用了

网站地图

All rights reserved Powered by www.mjjq.net

copyright ©right 2010-2021。
www.mjjq.net内容来自网络,如有侵犯请联系客服。zhit325@qq.com