开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

插入blob不起作用(mysql_real_escape_string)

插入blob不起作用(mysql_real_escape_string)是一个关于MySQL数据库中插入二进制大对象（BLOB）时使用mysql_real_escape_string函数无效的问题。

答案如下：

问题描述：

在MySQL数据库中，当我们尝试使用mysql_real_escape_string函数来转义二进制大对象（BLOB）数据并插入到数据库中时，可能会遇到无效的情况。

解决方案：

使用预处理语句（Prepared Statements）：预处理语句是一种在执行SQL语句之前将参数绑定到占位符的方法。通过使用预处理语句，可以避免使用mysql_real_escape_string函数来转义数据，从而解决插入BLOB不起作用的问题。以下是一个示例代码：

$stmt = $mysqli->prepare("INSERT INTO table_name (blob_column) VALUES (?)");
$stmt->bind_param("b", $blobData);
$stmt->send_long_data(0, $blobData);
$stmt->execute();

使用base64编码：将BLOB数据转换为base64编码的字符串，然后插入到数据库中。在读取数据时，再将base64编码的字符串转换回BLOB数据。这种方法可以避免使用mysql_real_escape_string函数，但需要在存储和读取数据时进行编码和解码操作。
使用其他数据库驱动程序或ORM框架：如果mysql_real_escape_string函数无效，可以尝试使用其他数据库驱动程序或ORM框架，如PDO、Doctrine等。这些工具通常提供更好的数据转义和插入BLOB的支持。

总结：

插入BLOB不起作用(mysql_real_escape_string)是一个关于使用mysql_real_escape_string函数插入二进制大对象（BLOB）数据时无效的问题。为了解决这个问题，可以使用预处理语句、base64编码或其他数据库驱动程序或ORM框架来插入和读取BLOB数据。具体选择哪种方法取决于具体的需求和技术栈。

腾讯云相关产品和产品介绍链接地址：

腾讯云提供了多种与数据库相关的产品和服务，包括云数据库MySQL、云数据库MariaDB、云数据库SQL Server等。您可以通过以下链接了解更多信息：

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Oracle BLOB类型进行插入

字符串插入BLOB字段类型 1.BLOB BLOB全称为二进制大型对象（Binary Large Object)。它用于存储数据库中的大型二进制对象。...可存储的最大大小为4G字节通常像图片、文件、音乐等信息就用BLOB字段来存储，先将文件转为二进制再存储进去。...String类型插入BLOB字段转成进制 INSERT INTO TABLE VALUES ('1',rawtohex('内容'))； Jetbrains全家桶1年46，售后保障稳定博主QQ交流群

2.7K3 0

MySQL 中Blob类型数据的插入和读取

我们在操作数据存入blob数据的类型,常用来存储头像图片等流数据,blob类型如果想要存储比较大的流文件的数据,建议选用longBlob的数据类型,Demo中的数据就简单的示范了一下,sql文件如下...image_name` varchar(255) DEFAULT NULL, `image_in` longblob ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4; 插入图片和读取图片到本机的操作如下...BlobTest { public static void main(String[] args) throws IOException, SQLException { //把图片存为blob...的格式到数据库 // storePicBlog(); //从数据库读取blob的格式的图片数据 getPicBlog(); } public...PreparedStatement ps = conn.prepareStatement(sql); ResultSet rs = ps.executeQuery(sql); Blob

9.5K4 1

Java向Oracle数据库表中插入CLOB、BLOB字段

操作场景主要有三种场景：仅对已知表中的某一字段写入Blob和Clob字段的值更新已知表中全部字段的值（均为Blob和Clob字段）插入数据中带有部分需要插入Blob和Clob字段的数据总结来看...插入时带Blob和Clob字段情景再现：从数据源接收数据，解析完成后产生SQL语句并批量插入数据表，注意，原记录中含有若干个Blob字段（图片编码）和若干个Clob字段（记录信息），其余字段均为一般类型...（String，Integer）在给出代码前，注意几点： Blob和Clob需要单独处理，即一个SQL语句无法完成上述需求整个过程分为三部分：组装SQL语句、第一遍插入、第二次插入Blob和Clob...类型组装SQL语句时：Blob需要人为empty_blob()，置空为Clob需要人为置空为empty_clob() 每次插入都需要对特殊字段进行处理，故无法使用batch操作特殊字段处理（第二次插入...empty_blob() 如何通过主键值来进行第二次插入如何插入Blob和Clob字段如果你有更好的方法或者是对该文章有任何的疑问或想法，请在下方留言，我会第一时间回复的！

6.5K1 0

MySQL的NO_BACKSLASH_ESCAPES

id=8077 从MySQL 5.7.6版本开始，如果启用了NO_BACKSLASH_ESCAPES，则mysql_real_escape_string()函数失败，错误码为CR_INSECURE_API_ERR...，这个时候应当使用mysql_real_escape_string_quote()替代mysql_real_escape_string()。...(0.00 sec) 相关源代码： #define CR_INSECURE_API_ERR 2062 测试代码（https://github.com/eyjian/mooon/blob...3306' '0x1a' MYSQL_SERVER_VERSION: 5.7.12 0x1a db_exception://[2062]Insecure API function call: 'mysql_real_escape_string

1.5K4 0

八年phper的高级工程师面试之路八年phper的高级工程师面试之路

公司1： 1、mysql_real_escape_string mysql_escape_string有什么本质的区别，有什么用处，为什么被弃用？...答：mysql_real_escape_string需要预先连接数据库，并可在第二个参数传入数据库连接（不填则使用上一个连接）两者都是对数据库插入数据进行转义，但是mysql_real_escape_string...再问：内存比较宝贵，在不用内存加锁的情况下怎么办，并且如果碰到1亿奖池的情况，预先插入数据库肯定不好，怎么办？...流程如下： begin 查询用户抽奖次数，加排他锁对用户抽奖次数的更新/插入锁行查询发放情况获得抽奖结果（某些奖品发完之后，动态变更概率）更新发放表插入中奖记录 commit 再问：遇到脏读怎么办...答：O(log(n))，O(1) 因为哈希表是散列的，在遇到`key`>'12'这种查找条件时，不起作用，并且空间复杂度较高。

2K2 0

MySQL中字符串知识学习--MySql语法

backslash'; +------------------------+ | disappearing backslash | +------------------------+ 如果你想要在字符串列内插入二进制数据...(例如BLOB)，必须通过转义序列表示下面的字符： NUL NUL字节(ASCII 0)。...例如，在C程序中，可以使用mysql_real_escape_string() C API函数来转义字符。...· 显式转义特殊字符，许多MySQL API提供了占位符功能，允许你在查询字符串中插入特殊标记，然后当你发出查询时将数据值同它们绑定起来。在这种情况下，API关注转义值中的特殊字符。

1.4K3 0

八年phper的高级工程师面试之路八年phper的高级工程师面试之路

公司1： 1、mysql_real_escape_string mysql_escape_string有什么本质的区别，有什么用处，为什么被弃用？...答：mysql_real_escape_string需要预先连接数据库，并可在第二个参数传入数据库连接（不填则使用上一个连接）两者都是对数据库插入数据进行转义，但是mysql_real_escape_string...再问：内存比较宝贵，在不用内存加锁的情况下怎么办，并且如果碰到1亿奖池的情况，预先插入数据库肯定不好，怎么办？...流程如下： begin 查询用户抽奖次数，加排他锁对用户抽奖次数的更新/插入锁行查询发放情况获得抽奖结果（某些奖品发完之后，动态变更概率）更新发放表插入中奖记录 commit 再问：遇到脏读怎么办...答：O(log(n))，O(1) 因为哈希表是散列的，在遇到`key`>’12’这种查找条件时，不起作用，并且空间复杂度较高。

9840 0

代码审计与渗透测试

是恶意攻击者往web页面里插入恶意html代码，当用户浏览该页时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS分为存储型xss和反射型，基于DOM的跨站脚本XSS。...【存储型】存储型XSS审计和反射型XSS审计思路差不多，不过存储型XSS会在数据库“中转”一下，主要审计sql语句update，insert更新和插入。进行审计前，先进行黑盒测试。 ? ?...( message ); // Sanitize name input name = mysql_real_escape_string( name ); // Update database...mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符受影响字符 \x00 \n \r \ ' " \x1a 如果成功，则该函数返回被转义的字符串...最后给插入数据库。这个时候我们去数据库看一下，如下图，可以看到xss代码已经插入数据库了，这也就是存储型XSS与反射性XSS的区别。

1.4K3 0

二次注入简单介绍

注入的字符先存入到数据库中，而当我们再次调用这个恶意构造的字符时就可以触发SQL注入，这一种注入在平时并不常见，但是确实是存在的一种注入，故此在这里将其单独拎出来说一下注入原理二次注入的原理是在第一次进行数据库插入数据的时候...但是数据本身还是脏数据，在将数据存入到了数据库中之后开发者就认为数据是可信的，在下一次进行需要进行查询的时候直接从数据库中取出了脏数据，没有进行进一步的检验和处理，这样就会造成SQL的二次注入，比如在第一次插入数据的时候...，数据中带有单引号，直接插入到了数据库中然后在下一次使用中在拼凑的过程中就形成了二次注入：总结起来二次注入其实是分为两个步骤：插入恶意数据引用恶意数据注入思路二次排序注入思路： 1、黑客通过构造数据的形式在浏览器或者其他软件中提交.../sql-connections/sql-connect.php"); function sqllogin(){ $username = mysql_real_escape_string...$pass= mysql_real_escape_string($_POST['password']); $re_pass= mysql_real_escape_string($_POST['

1911 0

bwapp之sql注入_sql注入语句入门

High 采用了mysql_real_escape_string()函数来防御 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。...Medium&High Medium和High级别分别采用了addslashed()和mysql_real_escape_string()来过滤特殊字符: 但是这是整数型注入, 对于字符型注入的防御策略并不起作用...Medium&High 分别用了addslashes()和mysql_real_escape_string()函数防御: 且在Medium中, mysql编码为utf-8, 无法用宽字节绕过, 安全。...title=Iron%' and 1=1 %23 也可以在sqli_10-1.php搜索框注入: Iron%' and 1=1 # Medium&High 分别用了addslashes()和mysql_real_escape_string...在将blog内容以及时间作者等插入数据库的过程中, 肯定用到了insert语句, 对应的就可以采用 sql注入; 2. 观察插入之后的内容, 被写入到网页中, 这里就类似与存储型XSS。

8.4K3 0

基于约束的SQL攻击

php // Checking whether a user with the same username exists$username = mysql_real_escape_string($_GET...php $username = mysql_real_escape_string($_GET['username']); $password = mysql_real_escape_string($_GET...比如特定列的长度约束为“5”个字符，那么在插入字符串“vampire”时，实际上只能插入字符串的前5个字符，即“vampi”。现在，让我们建立一个测试数据库来演示具体攻击过程。...然后，我将向username字段插入“vampire”，向password字段插入“my_password”。...接下来，当执行INSERT查询语句时，它只会插入前25个字符。

1.2K5 0

基于约束的SQL攻击

['username']); $password = mysql_real_escape_string($_GET['password']); $query = "SELECT *...php $username = mysql_real_escape_string($_GET['username']); $password = mysql_real_escape_string($_GET...比如特定列的长度约束为“5”个字符，那么在插入字符串“vampire”时，实际上只能插入字符串的前5个字符，即“vampi”。现在，让我们建立一个测试数据库来演示具体攻击过程。...然后，我将向username字段插入“vampire”，向password字段插入“my_password”。...接下来，当执行INSERT查询语句时，它只会插入前25个字符。

1.3K9 0

Mysql资料数据类型（上）

int(m)里的m是表示SELECT查询结果集中的显示宽度浮点型设一个字段定义为float(6,3)，如果插入一个数123.45678,实际数据库里存的是123.457，但总个数还以实际为准，即6...整数部分最大是3位，如果插入数12.123456，存储的是12.1234，如果插入12.12，存储的是12.1200. 定点数浮点型在数据库中存放的是近似值，而定点类型在数据库中存放的是精确值。...varchar查询速度快于text,在都创建索引的情况下，text的索引似乎不起作用。二进制数据 1...._BLOB和_text存储方式不同，_TEXT以文本方式存储，英文存储区分大小写，而_Blob是以二进制方式存储，不分大小写。 2._BLOB存储的数据只能整体读出。 3.

1.2K2 0

php宽字节注入,宽字节注入详解

前言在mysql中，用于转义的函数有addslashes，mysql_real_escape_string，mysql_escape_string等，还有一种情况是magic_quote_gpc...addslashes编码之后带入了‘\’ 1、root%df%5C%27%20or%201=1%23 2、带入mysql处理时使用了gbk字符集 %df%5c->運成功的吃掉了%5c %27->‘单引号成功闭合执行了插入的...同时配套的过滤函数为mysql_real_escape_string()。...上面代码中列出了几个过滤的函数，他们之间的区别就是mysql_real_escape_string()会根据mysql对象中的mysql->charset属性来对待传入的字符串，因此可以根据当前字符集来进行过滤...Mysql编码与过滤函数推荐使用mysql_real_escape_string()，mysql_set_charset()。转编码函数同样会引起宽字节注入，即使使用了安全的设置函数。

3.5K1 0

PHP 中的转义函数小结

例如，将名字 O’reilly 插入到数据库中，这就需要对其进行转义。...仅仅是为了获取插入数据库的数据，额外的 \ 并不会插入。当 PHP 指令 magic_quotes_sybase 被设置成 on 时，意味着插入 ‘ 时将使用 ‘ 进行转义。...本函数和 mysql_real_escape_string() 完全一样，除了 mysql_real_escape_string() 接受的是一个连接句柄并根据当前字符集转移字符串之外。...mysql_real_escape_string() 调用mysql库的函数 mysql_real_escape_string, 在以下字符前添加反斜杠: \x00 \n \r \ ' " \x1a...这样黑客不可能插入恶意sql代码。

3.2K2 0

mysql成绩用什么类型_数据库里面的数据类型都有哪些

2、浮点型(float和double) 设一个字段定义为float(5,3)，如果插入一个数123.45678,实际数据库里存的是123.457，但总个数还以实际为准，即6位。...varchar查询速度快于text,在都创建索引的情况下，text的索引似乎不起作用。 5.二进制数据(_Blob) 1...._BLOB和_text存储方式不同，_TEXT以文本方式存储，英文存储区分大小写，而_Blob是以二进制方式存储，不分大小写。 2._BLOB存储的数据只能整体读出。 3.

2.4K2 0

php操作mysql防止sql注入(合集)

本文将从sql注入风险说起，并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。...例如，将名字 O'reilly 插入到数据库中，这就需要对其进行转义。...仅仅是为了获取插入数据库的数据，额外的\并不会插入。当 PHP 指令 magic_quotes_sybase 被设置成on时，意味着插入'时将使用'进行转义。...php 2. mysql_real_escape_string() (推荐指数4) 就用addslashes好了..暂时可以忘记掉mysql_real_escape_string了 (www.cnblogs.com...mysql_real_escape_string()防注入详解此方法在php5.5后不被建议使用，在php7中废除。

4.7K2 0

Web安全Day2 - XSS跨站实战攻防

点击下面的修改即可成功应用下面开始使用这个默认的JS脚本进行XSS，复制一下js地址https://aixic.cn/XXXSSS/template/default.js 在DVWA中插入试试...script>他会自己补全，所以就不用输入 2.5.2.2 XSS(Stored) 攻击代码alert(document.cookie)，直接留言板插入即可没有过滤...,text='"; $sql .= mysql_real_escape_string(htmlspecialchars( $_POST["text"]))."'...如果我们将一个utf8mb4字符插入到utf8编码的列中，那么在mysql的非strict mode下，他的做法是将后面的内容截断。截断的话，就能绕过很多富文本过滤器了。...比如，插入两个评论<img src=1，和onerror=alert(1)//，这二者都不会触发某些富文本过滤器（因为前者并不含有白名单外的属性，后者并不是一个标签），但两个评论如果存在于同一个页面，就会拼接成一个完整的

1.4K4 0

Mysql 数据类型

float(m,d) 单精度浮点型 8位精度(4字节) m总个数，d小数位 double(m,d) 双精度浮点型 16位精度(8字节) m总个数，d小数位设一个字段定义为float(5,3)，如果插入一个数...varchar查询速度快于text,在都创建索引的情况下，text的索引似乎不起作用。...二进制数据(_Blob) 1.BLOB和text存储方式不同，TEXT以文本方式存储，英文存储区分大小写，而Blob是以二进制方式存储，不分大小写。 2._BLOB存储的数据只能整体读出。

1.5K2 0

二次注入——sqli-labs第24关

原理这就是二次注入，它的原理是：（1）后端（PHP）代码对语句进行了转义（2）保存进数据库（mysql）时没有转义，是原语句简而言之就是数据库对自己存储的数据非常放心，而用户恰恰向数据库插入了恶意语句...解析比如前面所注册的admin '#账号，在注册时，后端对其进行了转义（ addslashes() 或者mysql_real_escape_string和mysql_escape_string 等）

1.6K5 2

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭