不好意思想請問一下 最近在查 addslashes() 跟 mysql_real_escape_string() 這兩個函式 在Google上面查到 addslashes()還是無法很好的防治SQL Injection 原因是因為在數據庫字符集設為GBK時,可以使用像是0xbf27來觸發漏洞 因為addslashes()會加上單引號 變成0xbf5c27 這裡想了解一下我的觀念對不對 0xbf5c is 0xbf (¿) followed by 0x5c (\) 因為0xbf5c被視為是一個合法的multi-byte character 所以0xbf5c27會視為一個multi-byte character跟一個單引號(0x27) 而(\)反斜線就沒有作用到,因為跟0xbf被視為是一個合法的multi-byte character 所以單引號就沒有脫逸出來 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.0.34.18