在PHP中,我知道这mysql_real_escape比使用更加安全addslashes。但是,我找不到addslashes让SQL注入发生的情况的示例。
mysql_real_escape
addslashes
谁能举一些例子?
基本上,攻击的工作方式是通过addslashes()在多字节字符的中间放置反斜杠,从而使反斜杠成为有效的多字节序列的一部分而失去其含义。
addslashes()
本文的一般警告:
对于任何以有效多字节字符结尾的字符编码,这种攻击都是可能的0x5c,因为 addslashes()可以诱使他们创建有效的多字节字符,而不是转义后面的单引号。UTF-8不适合此描述。
0x5c
