简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
Heim > Backend-Entwicklung > PHP-Tutorial > Hauptteil

Sind mysql_real_escape_string() und addslashes() gleichwertig bei der Verhinderung von SQL-Injection?

Susan Sarandon
Freigeben: 2024-10-21 13:30:03
Original
181 Leute haben es durchsucht

Are mysql_real_escape_string() and addslashes() Equivalent in Preventing SQL Injection?

Den Unterschied verstehen: mysql_real_escape_string() vs. addslashes()

Während sowohl mysql_real_escape_string() als auch addslashes() zum Escape-Special verwendet werden Zeichen in Zeichenfolgen, um SQL-Injection-Angriffe zu verhindern, gibt es wesentliche Unterschiede zwischen den beiden Funktionen.

mysql_real_escape_string()

Diese Funktion wurde speziell für MySQL-Datenbanken entwickelt und fügt Schrägstriche hinzu die folgenden Zeichen:

  • x00
  • n
  • r
  • '
  • "
  • x1a

addslashes()

Andererseits fügt addslashes() nur drei Zeichen Schrägstriche hinzu:

  • '
  • NUL

Sicherheitsimplikationen

Webanwendungen, die ausschließlich auf addslashes() angewiesen sind Die Eingabevalidierung ist möglicherweise immer noch anfällig für SQL-Injection-Angriffe. Dies liegt daran, dass addslashes() nicht vor allen Zeichen schützt, die bei einem Injection-Angriff verwendet werden können, nämlich:

  • Zeilenumbrüche (n und r): Diese Zeichen können verwendet werden, um neue Zeilen in die Abfrage einzufügen und möglicherweise Validierungsprüfungen zu umgehen.
  • Kommentare (--): Diese Zeichen können zum Auskommentieren verwendet werden den Rest der Abfrage, sodass ein Angreifer beliebige SQL-Befehle ausführen kann.
  • Zusätzliche Escape-Zeichen (x1a): mysql_real_escape_string() schützt vor zusätzlichen Escape-Zeichen, die addslashes() nicht bietet, wie z als x1a.

Empfehlung

Für optimale Sicherheit wird empfohlen, die Verwendung von mysql_real_escape_string() und addslashes() zu vermeiden und stattdessen parametrisierte oder vorbereitete Abfragen zu verwenden Aussagen. Mit diesen Methoden können Sie Benutzereingaben an die Abfrage binden, ohne dass ein manuelles Escape erforderlich ist, was sicherer und effizienter ist.

Das obige ist der detaillierte Inhalt vonSind mysql_real_escape_string() und addslashes() gleichwertig bei der Verhinderung von SQL-Injection?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle:php
Vorheriger Artikel:Wie können Sie mit CSS gezielt bestimmte Browser ansprechen? Nächster Artikel:Wie verwende ich SHA1-Verschlüsselung anstelle von BCrypt in Laravel 4?
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Neueste Artikel des Autors
Aktuelle Ausgaben
function_exists() kann die benutzerdefinierte Funktion nicht ermitteln Funktionstest () {Verwendung der Verwendung durch -Durch -Durch -Durch -Durch -Durch -Durc...
Aus 2024-04-29 11:01:01
0
2
1637
So zeigen Sie die mobile Version von Google Chrome an Hallo Lehrer, wie kann ich Google Chrome in eine mobile Version umwandeln?
Aus 2024-04-23 00:22:19
0
10
1794
Das untergeordnete Fenster bedient das übergeordnete Fenster, aber die Ausgabe antwortet nicht. Die ersten beiden Sätze sind ausführbar, der letzte Satz jedoch nicht.
Aus 2024-04-19 15:37:47
0
1
1528
Im übergeordneten Fenster erfolgt keine Ausgabe document.onclick = function(){ window.opener.document.write('Ich bin die Ausgabe des unter...
Aus 2024-04-18 23:52:34
0
1
1439
Wo gibt es die Kursunterlagen zum CSS-Mindmapping? Kursunterlagen
Aus 2024-04-16 10:10:18
0
0
1486
verwandte Themen
Mehr>
Beliebte Empfehlungen
Beliebte Tutorials
Mehr>
Verwandte Tutorials
Beliebte Empfehlungen
Aktuelle Kurse
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage
Über uns Haftungsausschluss Sitemap
Chinesische PHP-Website:Online-PHP-Schulung für das Gemeinwohl,Helfen Sie PHP-Lernenden, sich schnell weiterzuentwickeln!