addslashes与mysql_real_escape_st…
来源:互联网 发布:提取微信网页数据库 编辑:程序博客网 时间:2024/05/01 13:12
addslashes和mysql_real_escape_string.都是为了使数据安全的插入到数据库中而进行过滤.那么这两个函数到底是有什么区别呢??
我们今天来简单的看下..
首先.我们还是从PHP手册入手..
手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。
mysql_real_escape_string转义的字符并没有被提到.只是说了一句
注意: mysql_real_escape_string() 并不转义% 和_。
为什么PHP手册没有说呢?因为其实这是个MySql的C的API.所以我们需要查下MySql手册..上面是这么说的.
编码的字符为NUL (ASCII0)、'\n'、'\r'、'\'、'''、'"'、以及Control-Z(请参见9.1节,“文字值”)。(严格地讲,MySQL仅需要反斜杠和引号字符,用于引用转义查询中的字符串。该函数能引用其他字符,从而使得它们在日志文件中具有更好的可读性)。
不得不说一句.MySql手册上面的话总是令人费解的..
我们为了更深层次的探究这两个函数的不同..还是去看一看PHP的源码吧..
这是PHP的addslashes函数..
PHP_FUNCTION(addslashes)
{
zval **str;
if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1,&str) == FAILURE) {
WRONG_PARAM_COUNT;
}
convert_to_string_ex(str);
if (Z_STRLEN_PP(str) == 0) {
RETURN_EMPTY_STRING();
}
RETURN_STRING(php_addslashes(Z_STRVAL_PP(str),
Z_STRLEN_PP(str),
&Z_STRLEN_P(return_value), 0
TSRMLS_CC), 0);
}
很显然.它调用了php_addslashes.我们继续看这个函数
PHPAPI char*php_addslashes(char *str, int length, int *new_length, intshould_free TSRMLS_DC)
{
return php_addslashes_ex(str, length, new_length, should_free, 0TSRMLS_CC);
}
结果又是是在调用php_addslashes_ex 我们就像在剥洋葱一样..一步一步的接近真理..
PHPAPI char*php_addslashes_ex(char *str, int length, int *new_length, intshould_free, int ignore_sybase TSRMLS_DC)
{
char *new_str;
char *source, *target;
我们今天来简单的看下..
首先.我们还是从PHP手册入手..
手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。
mysql_real_escape_string转义的字符并没有被提到.只是说了一句
注意: mysql_real_escape_string() 并不转义% 和_。
为什么PHP手册没有说呢?因为其实这是个MySql的C的API.所以我们需要查下MySql手册..上面是这么说的.
编码的字符为NUL (ASCII0)、'\n'、'\r'、'\'、'''、'"'、以及Control-Z(请参见9.1节,“文字值”)。(严格地讲,MySQL仅需要反斜杠和引号字符,用于引用转义查询中的字符串。该函数能引用其他字符,从而使得它们在日志文件中具有更好的可读性)。
不得不说一句.MySql手册上面的话总是令人费解的..
我们为了更深层次的探究这两个函数的不同..还是去看一看PHP的源码吧..
这是PHP的addslashes函数..
很显然.它调用了php_addslashes.我们继续看这个函数
结果又是是在调用php_addslashes_ex 我们就像在剥洋葱一样..一步一步的接近真理..