替代mysql_real_escape_string（access_denied）

Question

我目前使用sphinxql並在我的$查詢中使用mysql_real_escape_string，但由於沒有數據庫連接...我得到一個拒絕訪問。我一直在尋找替代品：

$query = $_GET["query"]; 



$query = trim($query); 
$remove = array(',','}','{',']','[',';',':','>','<','|',')','(','*','%','$','!','^','/'); 
$query=str_replace($remove, "", $query); 
$con = mysql_connect("localhost:9306","root",""); 
if (!$con) 
    { 
    die('Could not connect: ' . mysql_error()); 
    } 

$res = mysql_query("SELECT * FROM test1 WHERE MATCH ('$query')"); 

Answer 1

如果你神不知鬼不覺想逃離值沒有數據庫連接，您可以使用此功能：

<?php 
function mysql_escape_mimic($inp) { 
    if(is_array($inp)) 
     return array_map(__METHOD__, $inp); 

    if(!empty($inp) && is_string($inp)) { 
     return str_replace(array('\\', "\0", "\n", "\r", "'", '"', "\x1a"), array('\\\\', '\\0', '\\n', '\\r', "\\'", '\\"', '\\Z'), $inp); 
    } 

    return $inp; 
} 
?> 

Answer 2

，但因爲沒有數據庫連接...我得到拒絕訪問。

連接建立後運行mysql_real_escape_string()。沒有其他辦法。

轉義函數需要活動連接的事實在設計上是必要的，因此它知道準備數據的字符集。沒有這些信息，有空間vulnerabilities。

Answer 3

爲什麼你需要mysql_real_escape_string我沒有連接？

你可以首先連接，事後組裝查詢（執行前）

Answer 4

在已經回答：Alternative to mysql_real_escape_string without connecting to DB

太多PHP的說：「這是不可能的安全逃離的字符串不包含DB連接mysql_real_escape_string（）和預準備語句需要連接到數據庫，以便它們可以使用適當的字符集來轉義字符串 - 否則使用多字節字符的SQL注入攻擊仍然是可能的。

如果您只是測試，那麼你可以使用mysql_escape _string（），它不能100％保證免受SQL注入攻擊，但不可能在沒有數據庫連接的情況下構建更安全的東西。「

Answer 5

我可以使用mysql_real_escape_string連接到SphinxQL服務器這樣（）函數：

$msg_sphinx = mysql_real_escape_string($msg, $db_sphinx); 

$ db_sphinx是PHP用來處理SphinxQL連接的資源：

$db_sphinx = mysql_connect(DB_SPHINX_SERVER, DB_SPHINX_USER, DB_SPHINX_PASS); 

所以，沒有必要使用一個替代到mysql_real_escape_string（）函數

Answer 6

它不是安全的，即使通過更換這組字符串傳遞直接查詢字符串到數據庫中。您還可以在字符串替換集中添加'-'或'--'以避免SQL注入，因爲' - '用於SQL註釋及其注入SQL注入的密鑰。

此外，我還試圖將HTML表單元素中的sql語句從一個頁面傳遞到另一個頁面，但它也不能作爲HTML請求和響應在字符串末尾添加幾個額外的字符。

會話變量也沒有做同樣的事情。