mysql_real_escape_string и addslashes: понимание различий

В PHP функции mysql_real_escape_string и addslashes часто используются для очистки строк, предназначенных для запросов к базе данных. Несмотря на некоторые сходства, между ними есть ключевые различия, которые могут повлиять на безопасность и целостность ваших данных.

addslashes

addslashes экранирует определенные символы, которые проблематично в SQL-запросах. Сюда входят одинарные кавычки ('), двойные кавычки ("), обратная косая черта () и символ NUL (нулевой байт). Добавляя обратную косую черту к этим символам, добавление косой черты предотвращает их интерпретацию как специальные символы, сводя к минимуму риск SQL. инъекция уязвимости.

mysql_real_escape_string

mysql_real_escape_string — это более специализированная функция, разработанная специально для использования с MySQL. Она вызывает функцию библиотеки MySQL mysql_real_escape_string, которая добавляет обратную косую черту к расширенному набору. символы, включая, помимо прочего, символы, экранированные с помощью косой черты. К этим символам относятся \x00 (нулевой байт), \n (перевод строки), \r (возврат каретки) и \x1a (конец файла).

Ключевые различия

Основное различие между addslashes и mysql_real_escape_string заключается в наборе символов, которые они экранируют. mysql_real_escape_string экранирует более широкий диапазон. символов, включая определенные управляющие символы и символы конца строки, которые не добавляют косую черту.

Кроме того, mysql_real_escape_string учитывает особые требования MySQL при экранировании строк. Таким образом, он может реализовывать различные правила escape в зависимости от используемой версии MySQL. Например, последние версии MySQL обычно используют двойные кавычки для экранирования одинарных кавычек, а более ранние версии используют обратную косую черту. mysql_real_escape_string будет адаптироваться соответствующим образом, гарантируя, что строки правильно экранируются для конкретной используемой версии MySQL.

Значение дополнительных символов, экранированных mysql_real_escape_string

Символы, экранированных mysql_real_escape_string но не с помощью косых черт, включайте управляющие символы, такие как \x00 и \х1а. Эти символы могут иметь непредвиденные последствия в базе данных, например, привести к повреждению данных или разрыву соединения с базой данных.

Более того, экранирование символов конца строки (\n и \r) может иметь решающее значение при хранении нескольких -линейные данные. Если эти символы не экранированы должным образом, они могут привести к разрыву строки или возврату каретки в ваши данные, потенциально нарушая их читаемость и удобство использования.

Заключение

Хотя косая черта обеспечивает базовое экранирование Общие проблемные символы в запросах SQL, mysql_real_escape_string — более полный и надежный выбор для экранирования строк, предназначенных для баз данных MySQL. Учитывая особые требования MySQL и избегая более широкого набора потенциально опасных символов, mysql_real_escape_string повышает безопасность и целостность ваших данных.