草庐IT

non-escaping

全部标签

php - mysql_real_escape_string 和单引号

我很沮丧。我希望能够将带有单引号的名称插入到我的数据库中-例如,O'Connor。因此,当插入数据库时​​,我会:$lname=mysql_real_escape_string($_POST['lname']);然后我将$lname插入到数据库中。当它在数据库中时,它显示为O\'Connor。因此,如果我要在我的网络应用程序中记忆起那个姓氏,我将不得不使用:$lname=stripslashes($r["lname"]);这一切似乎工作正常。但是,我有一个搜索功能,可以搜索姓氏并显示结果。当我搜索时,我必须搜索O\'Connor才能获得任何结果。你看,在我搜索之后,文本框会自动存储刚刚
mysql_real_escape_string引号quotescodemagicphpmysqlescapingmysql-real-escape-string

escaping - 指定mysqldump在sql文件中插入的转义字符

我希望能够控制和指定mysqldump用于数据导出的转义字符。我想使用双反斜杠\\或''而不是\除了似乎用于制表符分隔导出的--fields-escaped-by=char之外,我找不到任何相关选项。有人可以帮忙吗? 最佳答案 我刚遇到同样的问题。有一个openbug在MySQL的错误跟踪器中对此进行了讨论(这很神奇,因为它是如此基本的东西)。我的快速修复是通过sed将mysqldump传输到管道:[yourmysqldumpcommand]|sed"s/\\\'/''/g">dumpfile.sql
mysqldumpescapingsectioncodestrongmysql-workbench

php - mysql_real_escape_string() 需要哪些 MySQL 权限?

mysql_real_escape_string()需要哪些MySQL权限?我想创建一个具有最低能力的数据库用户,专门用于mres()... 最佳答案 它是在客户端完成的,所以唯一需要的权限是使用(因为您只需要一个连接,甚至不需要读取权限)... 关于php-mysql_real_escape_string()需要哪些MySQL权限?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions
mysql_real_escape_stringescapesectionstackoverflowphpmysql

mysql - 什么时候使用mysql_real_escape_string?

什么时候应该使用mysql_real_escape_string?是否仅当我将行插入数据库时​​?或者仅当我有用户输入时?谢谢 最佳答案 每当您构建将针对数据库运行的查询时,您都应该使用mysql_real_escape_string()。任何用于构建数据库查询的用户输入都应该通过此函数运行。这将防止sql注入(inject)攻击。就此而言,用户输入是您最关心的领域。 关于mysql-什么时候使用mysql_real_escape_string?,我们在StackOverflow上找到一
mysqlmysql_real_escape_stringsectionmysql-real-escape-string

mysql - 哪些 SQL 注入(inject)方法不是 "destroyed"by mysql_real_escape_string();?

是否有一个SQL注入(inject)方法的列表不能仅使用mysql_real_escape_string();和utf8编码来保护?对于整数,我使用intval();是否足够安全?对于那些认为我想获得“教程”来破解任何人的人:不,我不会。我只想知道如何让我的应用程序更安全,我想知道它们是否99%安全以防黑客攻击 最佳答案 如果给定一个有效的数据库连接,mysql_real_escape_string()应该在所有情况下都是安全的字符串数据(thisanswer中描述的罕见异常(exception))。但是,字符串之外的任何内容都不会
mysqlmysql_real_escape_stringsectionsqlsql-injectionmysql-real-escape-string

php - 学说 2 : Force scheduleForUpdate on a non-changed entity

当没有实际更改属性时,如何手动安排实体进行更新?我尝试了$entityManager->getUnitOfWork()->scheduleForUpdate($entity)但它在核心中给出了一个错误,我没有调试Doctrine的意图。实体在重要时被管理:$entity=$repository->findOne(1)我需要这个,所以doctrine会在flush()上调用我的EventSubscriber。我也尝试过像$entityManager->getEventManager()->dispatchEvent(\Doctrine\ORM\Events::preUpdate)这样的东
scheduleForUpdate学说codesectionentityManagerphpmysqlzend-frameworkdoctrine-orm

Python mysql 是准备好的语句还是我需要 escape_string()?

这也是:cursor.execute("InsertINTOvisit(pid,date,diagnosisid)VALUES(%s,%s,%s)",(pid,date,diagnosisid))足够还是我需要:cursor.execute("InsertINTOvisit(pid,date,diagnosisid)VALUES(%s,%s,%s)",(escape_string(pid),escape_string(date),escape_string(diagnosisid)))? 最佳答案 第一个就够了;第二个会让你的努力加
escape_stringPythoncodesectionmysql

php - Laravel 数据库优先() "Trying to get property of non-object"

我使用Laravel的数据库运行查询first()当我使用dd()检查时,它返回一个对象或vardump().但是当我尝试使用echo($promotion->pp_name);打印值时它给出错误,但在dd($promotion->pp_name);时显示相同的属性pp_name);?>打印“紧急”pp_name);?>但它给出了“尝试获取非对象的属性”完整对象转储结果:{#196▼+"ppo_id":23+"ppo_prj_id":68+"ppo_pp_id":4+"ppo_updated_date":"2014-05-20"+"ppo_status":1+"pp_id":4+"pp
non-objectampcodepromotion34phpmysqldatabaselaravel

php - "mysqli_real_escape_string"是否足以避免 SQL 注入(inject)或其他 SQL 攻击?

这是我的代码:$email=mysqli_real_escape_string($db_con,$_POST['email']);$psw=mysqli_real_escape_string($db_con,$_POST['psw']);$query="INSERTINTO`users`(`email`,`psw`)VALUES('".$email."','".$psw."')";有人能告诉我它是否安全,或者它是否容易受到SQL注入(inject)攻击或其他SQL攻击? 最佳答案 Couldsomeonetellmeifitisse
mysqli_real_escape_stringampsectioncode39phpmysqlsecuritysql-injection

php - mysql_real_escape_string 只转义一种类型的引号

我的服务器运行的是PHP5.2.17,我已经使用php.ini文件禁用了魔术引号。我有一个字符串数组,有些像abcd"efg"hij'klmnop'q我使用以下代码转义它们以插入到mysql数据库中foreach($arrayas&$data){mysql_real_escape_string($data);}然后我像这样构造我的sql$sql='INSERTINTOtableVALUES('.'"'.$array[0].'",'.'"'.$array[1].'",'.'"'.$array[2].'")';当我尝试执行查询时出现错误。我在遇到错误时输出$sql变量,似乎mysql_re
mysql_real_escape_string引号codephpmysqlescapingquotesmysql-real-escape-string
37383940414243