Im simply passing user data into an SQL database and collecting the data for admin view only, i am usin mysql_real_escape_string() to escape the data, I was told today that htmlentities is better to use, i have always heard the opposite. could do go a little more in depth on this with me. Also as a sid enote, if someone could provide a really good tutorial for PDO that would be wonderful
我应该使用htmlentities还是mysql_real_escape_string [关闭]
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
- dongzhuanlei0768 2013-01-12 18:45关注
The two do entirely different things. One escapes data for putting into a SQL statement (which is a bad in general: see http://bobby-tables.com) and the other escapes data for putting into an HTML document. You're basically asking "Should I use a spoon or a fork?"
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2017-06-27 17:05luoxiandong2的博客 mysql_real_escape_string和mysql_escape_string区别 两者都是过滤字符串,防止sql注入,但两者有一些区别 mysql_real_escape_string: 1.具有两个参数,其中第二个为选填参数,默认为上一个数据库链接...
- 2021-02-10 02:00lvero王的博客 例如,O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。我所指的输出转义具体分为三步:l 识别输出l 输出转义l 区分已转义与未转义数据只...
- 2021-02-07 08:30weixin_39863017的博客 这比使用转义功能(例如)更加安全mysql_real_escape_string。是的,mysql_real_escape_string实际上只是一个字符串转义功能。这不是魔术子弹。它所要做的就是逃避危险字符,以便可以安全地在单个查询字符串中使用它们...
- 2021-02-10 02:00意博思诺教育的博客 MySQL的对于我的实验目的,我已经在我自己的网站上尝试了少量的XSS注射。...如果我仅应用strip_tags和mysql_real_escape_string,并且在将数据插入到数据库之前,不要在我的输入上使用htmlentities,所以查...
- 2021-02-10 02:00程序员必修课的博客 平台: PHP和mySQL出于实验目的,我在自己的网站上尝试了很...如果仅在将数据插入数据库之前才应用strip_tags和mysql_real_escape_string并且不对输入使用htmlentities,则查询将中断 ,由于异常终止,我会遇到一个...
- 2011-09-08 10:42manbujingxin的博客 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 下列字符受影响: \x00\n\r\'"\x1a 如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 ____________
- weixin_39788960的博客 过滤的延深 就是转义,有些数据... $mysql['username'] = mysql_real_escape_string($clean['username']); $sql = "SELECT * FROM profile WHERE username = '{$mysql['username']}'"; $result = mysql_query($sql); ?>
- 2021-04-23 16:26findtea的博客 我有用户输入并使用htmlentities()来转换所有实体.但是,似乎有一些错误.当我输入ääää öööö üüüü ääää我明白了ääää öööö üüüü ääää看起来像这样Ã...
- 2021-02-07 15:33胡匪的博客 从 PHP5.5.0 开始已经不推荐使用 mysql_real_escape_string() 了,所有新的应用应该使用 MySQLi 和 PDO_MySQL 扩展提供的方法:mysqli_real_escape_string() 或者 PDO::quote() 函数库执行数据库操作,以防止...
- 2016-11-22 23:36weixin_33895475的博客 包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQL有mysql_real_escape_string()函数用来转义SQL。 注意在PHP5.3之前,...
- 2021-02-02 20:14椰子大魔头的博客 = 4.0.3, PHP 5, PECL mysql:1.0)mysql_escape_string — 转义一个字符串用于 mysql_query说明string mysql_escape_string ( string $unescaped_string )本函数将 unescaped_string 转义,使之可以安全用于 mysql...
- 2018-04-16 17:14qq_36357386的博客 这个小问题困扰了一个周末啊,不过后来还是解决了。先上代码<?php error_reporting(0); function query_db($qstring) { include('db_login.php'); //connection details require_once('DB.php'); //PEAR ...
- zf213的博客 如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。为了防止SQL注入攻击,PHP...
- 2021-04-24 21:19weixin_39619170的博客 mysql_real_escape_string($theValue) : mysql_escape_string($theValue); switch ($theType) { case "text": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; break; case "long": case "int": ...
- 2021-04-19 06:18大象ROV的博客 我在开发环境中使用Windows 7,WAMP 2.2,MySQL 5.5.16,Apache 2.2.21和& PHP 5.3.8.每次执行查询时,都会返回错误:“.You have an error in your SQL syntax; check the manual thatcorresponds to your MySQL ...
- 2012-01-29 16:01IntelligentDren的博客 $mysql['username'] = mysql_real_escape_string($clean['username']); $sql = "SELECT * FROM profile WHERE username = '{$mysql['username']}'"; $result = mysql_query($sql); ?>
- 2022-12-30 09:03HuntsBot的博客 (例如 mysql_query()、mysql_connect() 或 mysql_real_escape_string())?即使它们在我的网站上工作,我为什么还要使用其他东西?如果他们在我的网站上不起作用,为什么我会收到类似的错误警告:mysql_connect()...
- wx24e331e6d83e1b9f的博客 这比使用转义函数(如mysql_real_escape_string.是,mysql_real_escape_string实际上只是一个字符串转义函数。这不是一颗神奇的子弹。它所要做的就是转义危险字符,以便它们可以安全地在单个查询字符串中使用。但是,...
- 2021-02-03 10:16秋刀鱼的博客 方法关键字搜索get post cookie request等数据库监控访问url... mysql_real_escape_string()这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确...
- 没有解决我的问题, 去提问
