脚本宝典收集整理的这篇文章主要介绍了php – 是一个带有转义字符串的mysql LIKE语句,其中包含未转义的通配符’%'(百分比)或’_'(下划线)易受攻击?,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
$stmt = $pdo->PRepare("SELECT * From users WHERE username LIKE ?"); $stmt->execute(array('%' . $username . '%'));
提供的用户名被正确转义,但字符%(= 0或更多任意字符)和_(=正好1个任意字符)被MysqL解释为通配符.
我知道用户可以输入%或_进行搜索,如果我希望搜索功能正常工作,我应该将其转义. (在set_pt和结果中获取setopt的情况下).
但我的问题是:有人可以利用这个吗?如果是的话,有人可以利用这个以及如何预防它?下面的功能是否足够?
function escaPE_like_string($str) { return str_replace(Array('%','_'),Array('\%','\_'),$str); }
我能想到的一种可能性是输入大量的%,因此服务器需要分配大量内存.这会有用吗?
以上是脚本宝典为你收集整理的php – 是一个带有转义字符串的mysql LIKE语句,其中包含未转义的通配符’%'(百分比)或’_'(下划线)易受攻击?全部内容,希望文章能够帮你解决php – 是一个带有转义字符串的mysql LIKE语句,其中包含未转义的通配符’%'(百分比)或’_'(下划线)易受攻击?所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。