1. sql需要转义的字符有哪些
特殊转义:单引号 -- 用2个单引号''
两种比较常见的方式
(1)用中括号[]转义
WHERE ColumnA LIKE 'aaa[_]bbb' ---
(2)用关键字ESCAPE 转义
WHERE ColumnA LIKE '%aaa/%bbb%' ESCAPE '/'
注:
1)方式2不如1方便,适用面也窄小,清晰度也差。
2)方式0在使用动态SQL,尤其是“嵌套 + 代码生成”的高级应用中,很容易出错
2. SQL语句中转义字符怎么写
0、特殊转义:单引号
--
用2个单引号''
两种比较常见的方式
1、用中括号[]转义
WHERE
ColumnA
LIKE
'aaa[_]bbb'
---
2、用关键字ESCAPE
转义
WHERE
ColumnA
LIKE
'%aaa/%bbb%'
ESCAPE
'/'
注:
A)方式2不如1方便,适用面也窄小,清晰度也差。
B)方式0在使用动态SQL,尤其是“嵌套
+
代码生成”的高级应用中,很容易出错。
3. SQL语句中转义字符怎么写
两种比较常见的方式 :1.用中括号[ ]转义。 2.用关键字ESCAPE 转义。
4. sql 查询结果转义
select 编号 ,人员,
(case when 状态='0' then '停用'
when 状态='0' then '启用'
end ) as
状态 from 表
5. sql注入与转义的php函数代码
sql注入:
正常情况下:
delete.php?id=3;
$sql
=
'delete
from
news
where
id
=
'.$_GET['id'];
恶意情况:
delete.php?id=3
or
1;
$sql
=
'delete
from
news
where
id
=
3
or
1';
-------如此执行后,所有的记录将都被删除
应该采取相关措施。。。比如用之前先判断是否是数字等等。
要使自己相信,从客户端传来的信息永远是不可靠的!!
转义:
有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义,转义成普通的字符,此时就要用到string
addslashes
(
string
$str
),这个函数可以对某个变量进行转义。但是,如果对数组里的元素进行转义,就用foreach循环数组,如下:
复制代码
代码如下:
foreach($_POST
as
$k=>$v)
{
if(is_string($v))
{
$_POST[$k]
=
addslashes($v);
}
}
但是如果数组中还包含数组,那就要递归进行转义了,此时用到
array_walk_recursive(array
&$input
,
callback
$funcname
[,
mixed
$userdata
])
将用户自定义函数
funcname
应用到
array
数组中的每个单元。本函数会递归到更深层的数组中去。典型情况下
funcname
接受两个参数。input
参数的值作为第一个,键名作为第二个。如果提供了可选参数
userdata,将被作为第三个参数传递给
callback
funcname。成功时返回
TRUE,
或者在失败时返回
FALSE
也就是说:用自定义的函数,至少要能接收两个参数,而addslashes()只能接收一个参数所以自定义一个函数如下:
复制代码
代码如下:
function
a(&$v,$k){
$v=addslashes($v);
}
array_walk_recursive(&$arr,'a');
系统自动转义:
PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可
魔术引号被打开后,系统会自动对$_GET,$_POST,$_COOKIE数据进行转义,在不知情的情况下,再次进行手动转义的话,就转多了,要想合理的进行转义,就要首先判断,魔术符号是否已经打开了,用magic_quotes_gpc()进行判断,不需要传值,关闭返回0,关闭返回1
复制代码
代码如下:
if(!get_magic_quotes_gpc())
{
//
如果魔术引号没开
function
_addslashes(&$v,$k)
{
$v
=
addslashes($v);
}
array_walk_recursive(&$_GET,'_addslashes');
array_walk_recursive(&$_POST,'_addslashes');
array_walk_recursive(&$_COOKIE,'_addslashes');
}
6. php mysql转义特殊字符的函数有哪些
PHP的介绍
PHP,是英文超文本预处理语言Hypertext Preprocessor的缩写。PHP 是一种可以 HTML 内嵌式的语言,是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,被广泛地运用。自从PHP5开始,引入了面向对象的全部机制,并且保留了向下兼容性。
PHP的发展历史
PHP原始为Personal Home Page的缩写,现已经正式更名为 “PHP: Hypertext Preprocessor”的缩写。注意不是“Hypertext Preprocessor”的缩写,这种将名称放到定义中的写法被称作递归缩写。PHP于1994年由Rasmus Lerdorf创建,刚刚开始是Rasmus Lerdorf 为了要维护个人网页而制作的一个简单的用Perl语言编写的程序。最初这些工具程序用来显示 Rasmus Lerdorf 的个人履历,以及统计网页流量。后来又用C语言重新编写,包括可以访问数据库。他将这些程序和一些表单直译器整合起来,称为 PHP/FI。PHP/FI 可以和数据库连接,产生简单的动态网页程序。
PHP的现状
PHP作为最成熟的开源体系LAMP(Linux,Apache,MySQL,PHP)的重要一员,以其简单性、开放性、低成本、安全性和适用性,受到越来越多的Web程序员的欢迎和喜爱。
PHP中提供了作为编码语言所有的基本功能。此外,它还提供许多实用的功能,使得PHP比其他编程语言更适合动态网页的开发。针对企业级Web应用,PHP也不断地完善和增加新的功能。
PHP是开放源代码的,这意味着其代码的核心部分可以被免费使用。所有源码、文档可以在PHP官方网站上获得。用户可以自由复制、编译、分发其拷贝。任何一个用PHP编写的程序都属于用户自己,并且可以自行处理。
正式由于这种开源精神,才使PHP社区可以聚集众多的爱好者,也使得PHP有如此迅猛的发展。PHP的更新速度,以及发现和修正错误的速度是非常迅速的。可以看到,几乎每周都有一个新版本的PHP程序包发布。
目前,PHP的官方维护者和推动者Zend公司已经加快了PHP企业级应用的步伐。随着PHP5的应用不断扩大,Zend公司还将推出一个标准的PHP开发框架Zend Framework。通过这一框架,PHP开发者可以快速地构建Web应用。
PHP还具有优秀的平台兼容性。PHP源于UNIX系统平台,尤其是PHP、MySQL、 Apache和Linux组合,备受PHP爱好者的欢迎。不仅如此,PHP在Windows系列操作系统上也有出色的表现。其良好的程序界面、语言易用性等特点吸引了微软的开发人员。目前,有消息称未来的Windows . NET开发环境将集成PHP,这也意味着PHP的用户群将日益壮大。
PHP是广泛及通用的脚本语言,它尤其适合于Web开发。PHP是世界上主要的网络开发语言之一,运行在世界三分之一的服务器上。它是从雅虎到Facebook等公司的平台选择,也是共享主机上最广泛的开发平台,为世界上数百万的网站提供动力。
今天,已经有包括雅虎和亚马逊等在内的数百万网站,以及众多的开发人员和编程爱好者正在使用PHP。从最初的PHP/FI到现在的PHP5,PHP的发展是及其迅猛的,其未来的发展前景也必定令人瞩目。
随着PHP5版本性能的提升,以及面向对象功能的完善,PHP也逐渐开始于面向企业级应用。PHP的发展前景将无限广阔。
现在php5的最新版本为php5.4.3,较php5.3增强了安全特性,去掉了一些威胁安全的函数如global_register等,去掉了安全模式。
PHP的特点
PHP 独特的语法混合了 C、Java、Perl 以及 PHP 自创新的语法。
PHP安装它可以比 CGI或者Perl更快速的执行动态网页。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML文档中去执行,执行效率比完全生成htmL标记的CGI要高许多;
PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
PHP具有非常强大的功能,所有的CGI的功能PHP都能实现,而且支持几乎所有流行的数据库以及操作系统。
最重要的是PHP可以用C、C++进行程序的扩展!
PHP的优势
开放的源代码:所有的PHP源代码事实上都可以得到。
PHP是免费的:和其它技术相比,PHP本身免费且是开源代码。
php的快捷性:程序开发快,运行快,技术本身学习快。嵌入于HTML:因为PHP可以被嵌入于HTML语言,它相对于其他语言。编辑简单,实用性强,更适合初学者。
跨平台性强:由于PHP是运行在服务器端的脚本,可以运行在UNIX、LINUX、WINDOWS、Mac OS下。
效率高:PHP消耗相当少的系统资源。
图像处理:用PHP动态创建图像,PHP图像处理默认使用GD2。不过也可以配置为使用image magick进行图像处理。
面向对象:在php4,php5 中,面向对象方面都有了很大的改进,php完全可以用来开发大型商业程序。
专业专注:PHP支持脚本语言为主,同为类C语言
7. SQL 中ESCAPE的用法求简单例子
SqL中使用 ESCAPE 关键字定义转义符。当转义符置于通配符之前时,该通配符就解释为普通字符。例如:
1,要搜索“A_”开头的所有内容,请使用下列语句。句中通过escap将“_”转义,否则“_"为一个字符的通配符。
2,查找"%aa"开头的所有内容,语为如下。下例语句中第一个"%"仍为通配符“%”,第二个通过“/”将后边的“%”转义为“%”,而不是通配符。
8. sql server中sql语句中单引号怎么转义
sql server有两个转义符:
' 默认情况下, '是字符串的边界符, 如果在字符串中包含', 则必须使用两个', 第1个'就是转义符
另一个转义符是"
当SET QUOTED_IDENTIFIER OFF时, "是字符串边界符, 字符串中的"必须用两个"表示。
vb: "" <= "
sql server 2000: ''' <= 'eg:declare @SearchType nvarchar(50)
declare @SearchString nvarchar(255)
declare @SearchKey nvarchar(50)
declare @SearchSql nvarchar(2000)
set @SearchType = '2'
set @SearchKey = 'd'
set @SearchString = CASE @SearchType
when '1' then '1 = 1'
when '2' then 'p.ProjectName like ''' + '%' + @searchkey + '%' + ''''
when '3' then 'p.ProjectCity like ''' + '%'+ @searchkey + '%' +''''
when '4' then 'c.CateName like ''' + '%' + @searchkey + '%' + ''''
when '4' then 'p.ProjectManager like ''' + '%' + @searchkey + '%' +''''ENDset @SearchSql = N'
SELECT p.*,datename(year,ProjectPostTime)+ ' + '''-''' + ' + datename(month,ProjectPostTime)+ '+ '''-''' + ' + datename(day,ProjectPostTime)' + ' as PostTime, m.EmpName,c.CateName FROM proProject As p ,mrBaseInf As m ,proCate c WHERE p.EmpID = m.EmpID and p.CateID = c.CateID and '
+ @SearchString
9. sql语句中如何插入转义字符
只要在插入库之前作处理就可以了。利用replace函数把单引号替换为其它字符,如str.replace("'","*");其中str是你加密后的字符串!
10. sql怎么使用escape标识转义符
在处理sql时,遇到insert 或update 的参数中含有特殊字符“&”,下划线“_”, 单引号" ' "等时,要做转义处理。
例:插入特殊字符'&'
update userinfo set pageurl='myjsp?page=1&pagesize=10' where id='test'
两个办法:
1) update userinfo set pageurl='myjsp?page=1'||'&'||'pagesize=10' where id='test'
2) update userinfo set pageurl='myjsp?page=1'||chr(38)||'pagesize=10' where id='test'
注:其中 || 是连字符, chr(38)跟ASCII的字符转码是一致的。
例:搜索以“QA_”开头的数据 :
select CODE from CNT_CODELIST where code like 'QA_%'
结果为:QA_OFFICER_1,QA_OFFICER_2,QA112
不符合,必须把下划线转义
select CODE from CNT_CODELIST where code like 'QA/_%'escape '/'
结果为:QA_OFFICER_1,QA_OFFICER_2
转义字符 % 处理手法如&
转义字符 ’单引号 在PL/SQL里两个单引号等于一个单引号
补充:
SQL中escape的用法
使用 ESCAPE 关键字定义转义符。 在模式中,当转义符置于通配符之前时,该通配符就解释为普通字符。
例如,要搜索在任意位置包含字符串 5% 的字符串: WHERE ColumnA LIKE '%5/%%' ESCAPE '/'
前后两个%作为通配符使用,中间的%经过ESCAPE 转义,作为普通字符使用