我通过 (int)Integer 运行我所有的整数,以确保它们可以安全地用于我的查询字符串。
我还通过这个函数代码运行我的字符串:-
if(!get_magic_quotes_gpc()) {
$string = mysql_real_escape_string($string);
}
$pattern = array("\\'", "\\\"", "\\\\", "\\0");
$replace = array("", "", "", "");
if(preg_match("/[\\\\'\"\\0]/", str_replace($pattern, $replace, $string))) $string = addslashes($string);
$cleanedString = str_replace('%','',$string);
我显然返回了 $cleanedString 变量。现在我替换了 % 字符,因为它是 mySQL 的通配符,如果用户插入它们,它可能会减慢我的查询(或使它们返回不正确的数据)。我应该关注 mySQL 的任何其他特殊字符吗?
第二点,我在 mysql_real_escape_string 之后的搜索和替换有什么错误或多余的地方吗?我刚开始的时候从一个网站上得到它(如果我没记错的话)它说除了转义字符串之外你还必须使用这个搜索/替换。看起来它正在尝试删除任何以前转义的注入(inject)字符?
最佳答案
好的,我有几个意见:
神奇的引号功能是deprecated ,您的 PHP 环境永远不应启用魔术引号。所以检查它应该是不必要的,除非你设计的代码可以部署到其他客户的环境中(不明智地)启用了魔术引号。
如果您要搜索字符序列,则 preg_match() 中的正则表达式不正确。像 [xyz] 这样的正则表达式匹配单个字符 x、y 或 z 中的任何一个。它与字符串 xy 或 yz 不匹配。无论如何,这是学术性的,因为我认为您根本不需要以这种方式搜索或替换特殊字符。
mysql_real_escape_string() 足以转义您打算插入 SQL 字符串引号内的字符串文字。无需对其他引号、反斜杠等进行字符串替换。
% 和 _ 是 SQL 中的通配符 仅 当使用 LIKE 表达式进行模式匹配时.如果您只是与相等或不等运算符或正则表达式进行比较,那么这些字符没有任何意义。即使您正在使用 LIKE 表达式,也没有必要为了防御 SQL 注入(inject)而对这些字符进行转义。如果您想将它们视为文字字符(在这种情况下使用反斜杠转义它们)或 LIKE 表达式中的通配符(在这种情况下将它们保留在其中),则由您决定。
当您将 PHP 变量插入到 SQL 表达式中以代替文字字符串值时,以上所有内容都适用。如果使用 bound query parameters 则根本不需要转义而不是插值。绑定(bind)参数在普通“mysql”API 中不可用,但仅在“mysqli”API 中可用。
另一种情况是您插入 PHP 变量来代替 SQL 表名、列名或其他 SQL 语法。在这种情况下你不能使用绑定(bind)参数;绑定(bind)参数仅 代替字符串文字。如果您需要使列名称动态化(例如将 ORDER BY 列为用户偏好的列),您应该 delimit the column name带有反引号(在 MySQL 中)或方括号 (Microsoft) 或双引号(其他标准 SQL)。
所以我想说您的代码可以简化为以下内容:
$quotedString = mysql_real_escape_string($string);
那是如果您要使用字符串进行插值;如果您打算将其用作绑定(bind)参数值,则更简单:
$paramString = $string;
关于php - MySQL/PHP - 转义字符可能会降低我的数据库速度(或使其意外执行),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/339180/
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我有一个字符串input="maybe(thisis|thatwas)some((nice|ugly)(day|night)|(strange(weather|time)))"Ruby中解析该字符串的最佳方法是什么?我的意思是脚本应该能够像这样构建句子:maybethisissomeuglynightmaybethatwassomenicenightmaybethiswassomestrangetime等等,你明白了......我应该一个字符一个字符地读取字符串并构建一个带有堆栈的状态机来存储括号值以供以后计算,还是有更好的方法?也许为此目的准备了一个开箱即用的库?
我的目标是转换表单输入,例如“100兆字节”或“1GB”,并将其转换为我可以存储在数据库中的文件大小(以千字节为单位)。目前,我有这个:defquota_convert@regex=/([0-9]+)(.*)s/@sizes=%w{kilobytemegabytegigabyte}m=self.quota.match(@regex)if@sizes.include?m[2]eval("self.quota=#{m[1]}.#{m[2]}")endend这有效,但前提是输入是倍数(“gigabytes”,而不是“gigabyte”)并且由于使用了eval看起来疯狂不安全。所以,功能正常,
在我的Rails(2.3,Ruby1.8.7)应用程序中,我需要将字符串截断到一定长度。该字符串是unicode,在控制台中运行测试时,例如'א'.length,我意识到返回了双倍长度。我想要一个与编码无关的长度,以便对unicode字符串或latin1编码字符串进行相同的截断。我已经了解了Ruby的大部分unicode资料,但仍然有些一头雾水。应该如何解决这个问题? 最佳答案 Rails有一个返回多字节字符的mb_chars方法。试试unicode_string.mb_chars.slice(0,50)
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我试图获取一个长度在1到10之间的字符串,并输出将字符串分解为大小为1、2或3的连续子字符串的所有可能方式。例如:输入:123456将整数分割成单个字符,然后继续查找组合。该代码将返回以下所有数组。[1,2,3,4,5,6][12,3,4,5,6][1,23,4,5,6][1,2,34,5,6][1,2,3,45,6][1,2,3,4,56][12,34,5,6][12,3,45,6][12,3,4,56][1,23,45,6][1,2,34,56][1,23,4,56][12,34,56][123,4,5,6][1,234,5,6][1,2,345,6][1,2,3,456][123
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我有一大串格式化数据(例如JSON),我想使用Psychinruby同时保留格式转储到YAML。基本上,我希望JSON使用literalstyle出现在YAML中:---json:|{"page":1,"results":["item","another"],"total_pages":0}但是,当我使用YAML.dump时,它不使用文字样式。我得到这样的东西:---json:!"{\n\"page\":1,\n\"results\":[\n\"item\",\"another\"\n],\n\"total_pages\":0\n}\n"我如何告诉Psych以想要的样式转储标量?解
在我的应用程序中,我需要能够找到所有数字子字符串,然后扫描每个子字符串,找到第一个匹配范围(例如5到15之间)的子字符串,并将该实例替换为另一个字符串“X”。我的测试字符串s="1foo100bar10gee1"我的初始模式是1个或多个数字的任何字符串,例如,re=Regexp.new(/\d+/)matches=s.scan(re)给出["1","100","10","1"]如果我想用“X”替换第N个匹配项,并且只替换第N个匹配项,我该怎么做?例如,如果我想替换第三个匹配项“10”(匹配项[2]),我不能只说s[matches[2]]="X"因为它做了两次替换“1fooX0barXg