Lịch học

PHP Hướng dẫn cơ bản

• Hướng dẫn PHP
• Giới thiệu PHP
• Cài đặt PHP
• Cú pháp PHP
• Biến PHP
• PHP Echo / Print
• Kiểu dữ liệu PHP
• Hàm chuỗi PHP
• Biến thường số PHP
• Toán tử PHP
• PHP If...Else
• PHP Switch
• PHP Vòng lặp While
• PHP Vòng lặp For
• Hàm PHP
• Mảng PHP
• Sắp xếp mảng PHP
• PHP Tối cao

PHP Biểu mẫu

• PHP Xử lý biểu mẫu
• PHP Kiểm tra biểu mẫu
• PHP Biểu mẫu bắt buộc
• PHP URL/E-mail biểu mẫu
• PHP Hoàn thành biểu mẫu

PHP Hướng dẫn nâng cao

• Mảng đa chiều PHP
• PHP Ngày tháng
• PHP Include
• PHP Tệp
• PHP Mở/đọc tệp
• PHP Tạo/ghi tệp
• Tải lên tệp PHP
• Cookies PHP
• Phiên PHP
• PHP E-mail
• PHP Bảo mật E-mail
• PHP Error
• PHP Exception
• PHP Filter

PHP Cơ sở dữ liệu

• Giới thiệu MySQL
• MySQL Connect
• MySQL Create
• MySQL Insert
• MySQL Select
• MySQL Where
• MySQL Order By
• MySQL Update
• MySQL Delete
• PHP ODBC

PHP XML

• XML Expat Parser
• XML DOM
• XML SimpleXML

PHP và AJAX

• AJAX Giới thiệu
• XMLHttpRequest
• AJAX Suggest
• AJAX XML
• AJAX Database
• AJAX responseXML
• AJAX Live Search
• AJAX RSS Reader
• AJAX Poll

PHP tài liệu tham khảo

• PHP Array
• PHP Calendar
• PHP Date
• PHP Directory
• PHP Error
• PHP Filesystem
• PHP Filter
• PHP FTP
• PHP HTTP
• PHP LibXML
• PHP Mail
• PHP Math
• PHP MySQL
• PHP MySQLi
• SimpleXML PHP
• PHP String
• PHP XML
• PHP Zip
• PHP Miscellaneous
• PHP múi giờ

PHP bài kiểm tra

• PHP bài kiểm tra

Khóa học chọn lọc

Khuyến nghị khóa học:

• Hộp báu vật CodeW3C.com

Định nghĩa và cách sử dụng

Hàm mysql_real_escape_string() chuyển mã các ký tự đặc biệt trong chuỗi được sử dụng trong câu lệnh SQL.

Các ký tự sau bị ảnh hưởng:

• \x00
• \n
• \r
• \
• '
• "
• \x1a

Nếu thành công, hàm này sẽ trả về chuỗi đã được chuyển mã. Nếu thất bại, sẽ trả về false.

Cú pháp

mysql_real_escape_string(string,connection)

Mô tả

Hàm này sẽ string để chuyển mã các ký tự đặc biệt và考虑到连接的当前字符集，do đó có thể được sử dụng an toàn mysql_query().

Lưu ý và chú thích

Lưu ý:Bạn có thể sử dụng hàm này để ngăn chặn tấn công cơ sở dữ liệu.

Mô hình

Ví dụ 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
// Mã để lấy tên người dùng và mật khẩu
// Đổi mã tên người dùng và mật khẩu để sử dụng trong SQL
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// Một số mã thêm
mysql_close($con);
?>

Ví dụ 2

Tấn công cơ sở dữ liệu. Ví dụ này minh họa điều gì sẽ xảy ra nếu chúng ta không áp dụng hàm mysql_real_escape_string() cho tên người dùng và mật khẩu:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// Không kiểm tra tên người dùng và mật khẩu
// Có thể là bất kỳ nội dung nào được nhập bởi người dùng, ví dụ:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// Một số mã...
mysql_close($con);
?>

Vậy truy vấn SQL sẽ trở thành như thế này:

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''

Điều này có nghĩa là bất kỳ người dùng nào cũng không cần nhập mật khẩu hợp lệ để đăng nhập.

Ví dụ 3

Cách làm đúng để phòng ngừa tấn công cơ sở dữ liệu:

<?php
function check_input($value)
{
// Loại bỏ dấu gạch chéo
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// Nếu không phải số thì thêm dấu ngoặc kép
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
// Thực hiện SQL an toàn
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>

Công cụ

PHP tài liệu tham khảo

PHP bài kiểm tra

Liên kết tài trợ