php 注入处理

三月阳光

　　
－－－－－－－－－－－－－addslashes mysql_real_escape_string

需要注意的是.这个函数在调用mysql_real_escape_string这个API之前.先是判断了是否连接上了数据库

我们终于明白为什么那么多开源的程序比如Discuz用addslashes而不用mysql_real_escape_string了.

所以呢.以后也就用addslashes好了..暂时可以忘记掉mysql_real_escape_string了:)

手册上addslashes转义的字符是单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）
虽然两者都会增加转义字符，但是不会写入数据库中，所有出库的时候不需要任何处理。


if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}

if (!get_magic_quotes_gpc())
        $this->column[$col] = mysql_real_escape_string(htmlspecialchars($v));
else
        $this->column[$col] = htmlspecialchars($v);

最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下


mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：
mysql_real_escape_string 考虑到连接的当前字符集，而mysql_escape_string 不考虑。


虽然国内很多PHP coder仍在依靠addslashes防止SQL注入（包括我在内），我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。

当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。



---------------htmlspecialchars
将特殊字符转成 HTML 格式。

这些特殊字符包括：

& (和) 转成 &
" (双引号) 转成 "
< (小于) 转成 &lt;
> (大于) 转成 &gt;

$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href='test'&gt;Test&lt;/a&gt;
如果没有经过此函数，在网页上就会显示TEST而用过此函数之后就会显示<a href='test'>Test</a>。注意是在网页上。


$a="hj gh'jhjk>hj<br>kh\"k&hgg";
echo addslashes($a);//hj gh\'jhjk>hj<br>kh\"k&hgg

echo "<br>";
echo htmlspecialchars($a);//hj gh'jhjk&gt;hj&lt;br&gt;kh&quot;k&amp;hgg