Sonderzeichen in SQL-Injections maskieren
Um SQL-Injections zu verhindern, ist es wichtig, bestimmte Zeichen zu maskieren, die die Abfrageausführung manipulieren können. Gemäß der mysql_real_escape_string()-Funktion der MySQL-API sollten diese Zeichen maskiert werden:
<pre class="brush:php;toolbar:false">0x00 : "\0", 0x08 : "\b", 0x09 : "\t", 0x0a : "\n", 0x0d : "\r", 0x1a : "\Z", 0x22 : '\"', 0x25 : "\%", 0x27 : "\'", 0x5c : "\\", 0x5f : "\_",
Die ESAPI-Sicherheitsbibliothek von OWASP.org für Python geht jedoch über diese Zeichen hinaus und umfasst Folgendes in ihrem Codierungsmechanismus:
SELECT a FROM b WHERE c = '...user input ...';
Während es verständlich ist, warum Metazeichen wie „%“ und „_“ maskiert werden sollten, wirft die Einbeziehung von Rückschritt- (‚b‘) und Tabulatorzeichen (‘t‘) Fragen auf.
Sicherheitsbedenken bei Tabulatoren und Backspace-Zeichen
Tabulatorzeichen ('t')
Ein Tabulatorzeichen (ASCII-Code 9) bewegt den Cursor zum nächsten Tabstopp, der für ein bestimmtes System definiert ist. In einer SQL-Abfrage könnte ein Tabulator verwendet werden, um Leerzeichen einzufügen oder Daten auszurichten. Abhängig von den Tabstopp-Einstellungen könnte ein Angreifer möglicherweise eine Abfrage ändern oder Leerzeichen einfügen, was zu unbeabsichtigtem Verhalten führt.
Rücktaste ('b')
Eine Rücktaste Zeichen (ASCII-Code 8) verschiebt den Cursor um ein Zeichen nach hinten und überschreibt ihn somit. In einer SQL-Abfrage könnte eine Rücktaste verwendet werden, um zuvor eingegebene Daten zu löschen, was möglicherweise zu Injektionen oder Datenmanipulationen führen könnte.
Beispiel: Ausnutzung von Rücktastezeichen
Bedenken Sie Folgendes Abfrage:
Bobby]dor[p TA[ble[s
Wenn ein böswilliger Benutzer einen Wert mit Rückschrittzeichen eingibt, kann er möglicherweise einen Teil der Abfrage löschen, was zu einem unbeabsichtigten Verhalten führt. Wenn Sie beispielsweise diese Eingabe einfügen:
SELECT a FROM b WHERE c = 'Bobby';
Nachdem die Rücktaste die Zeichen „[dor[p TA[ble[s]“ gelöscht hat, wird die Abfrage effektiv zu:
Das ist bösartig Die Eingabe könnte möglicherweise alle Zeilen zurückgeben, in denen c gleich „Bobby“ ist, wodurch möglicherweise vertrauliche Informationen gefährdet werden.
Fazit
Escape-Tabulator- und Rücktaste-Zeichen sind zwar normalerweise nicht erforderlich, sie sind jedoch vorhanden kann in bestimmten Szenarien hilfreich sein, um SQL-Injections zu verhindern. Durch das Maskieren dieser Zeichen können Entwickler sicherstellen, dass böswillige Benutzer potenzielle Schwachstellen nicht ausnutzen können, um SQL-Abfragen zu manipulieren oder zu gefährden.
Das obige ist der detaillierte Inhalt vonSollten Backspace- und Tabulatorzeichen in SQL-Injections mit Escapezeichen versehen werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Was sind die Voraussetzungen für die Eröffnung eines Digitalwährungskontos? Ist es frei?
Der Unterschied zwischen Windows-Ruhezustand und Ruhezustand
jquery implementiert die Paging-Methode
So löschen Sie WeChat-Emoticons
Verwendung der Funktion createmutex
Kontextmenü
Einführung in die Nutzung von FTP-Servern
So verwenden Sie RealVNC
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
