安全问题。 今天看到一个朋友的blog上,写到PHP的安全设置,应该开启magic_quotes_gpc,避免SQL注入等。 可是,我在用Symfony开发时,文档上说应该关闭php.ini的magic_quotes_gpc,以前我不知道为什么,今天突然有些明白了。 这个设置,只能起到非常有限的安全作用,却有可能带来更严重的问题。 PHP的放置SQL注入,很多网站或教程上,都写着用addslashes或mysql_escape_string来过滤,或者用自动的magic_quote。这些函数的作用,就是查询字符串中的单引号、双引号和斜线”\”,在这些字符前面插入一个斜线”\”。 如果遇到了”頫運鳿黒靄錦鳿黒靄錦”这样的字符,而你的数据库、网页又是GBK编码的话,上面的3种过滤函数,都会给你带来麻烦,因为这些字符的第二个字节的编码,是%5c,恰好是”\”对应的编码。 原本是2个字节的汉字,被这些函数变成了3个字节,最后的2个字节是连续的”\”,而这第3个”\”会把后续的引号转义,因此SQL语句就会出错,导致更新无法执行。 安全建议: 设置php.ini,默认关闭magic_quotes_gpc 使用mysql_real_escape_string对字符串变量进行转义,注意,转义前判断magic_quotes_gpc是否已开启 使用utf-8编码,可以有效避免此类问题
Category:
MySQL
MySQL bin-log PURGE 清除日志
我有一个每天进行大量数据更新的程序,写数据库,用的是innoDB,而且开了bin-log,这段时间,写了几百G的日志,太大了,前一段时间设置过 expire-logs-days =3,但没有生效,不知为什么。 后来实在受不了,上网找了找,原来有另一个方法清除bin-log,且看中文版: PURGE {MASTER | BINARY} LOGS TO ‘log_name’ PURGE {MASTER | BINARY} […]
MySQL 字符集
两个不同的字符串,分别插入一个表,保存字符串的字段叫 word,在 word 上建了唯一索引(unique key)。 连续插入这 2 个字符串,第二个居然报错:Duplicate entry ‘%s’ for key %d – Error: […]
安装php5出现 mysql configure failed
安装PHP5时出现了错误。 configure: error: mysql configure failed. Please check config.log for more information. ./configure –prefix=/usr/local/php –with-apxs2=/usr/local/apache2/bin/apxs […]
数据库导入 乱码 数据被截断 数据不全
今天碰到一个Case,是数据库导入的,很顺利地解决了,跟大家分享一下过程。 环境: 数据源服务器 mysql>show variables like ‘char%’; character_set_client gbk character_set_connection gbk character_set_database gbk character_set_results gbk […]