Ist „mysql_real_escape_string()' wirklich wirksam gegen SQL-Injection?

Ist mysql_real_escape_string() kaputt? Eine tiefergehende Analyse

Trotz seiner weit verbreiteten Verwendung wurden einige Bedenken hinsichtlich der Wirksamkeit von mysql_real_escape_string() bei der Verhinderung von SQL-Injection-Angriffen geäußert. Dieser Artikel untersucht diese Behauptungen und untersucht die Einschränkungen und Alternativen zu dieser Funktion.

Fehler in mysql_real_escape_string()

Bedenken bezüglich mysql_real_escape_string() ergeben sich aus seiner Abhängigkeit vom Strom Zeichensatz der MySQL-Verbindung. Diese Abhängigkeit kann zu Schwachstellen führen, wenn der Zeichensatz nicht richtig konfiguriert ist oder wenn er während der Ausführung einer Abfrage geändert wird.

In der Dokumentation von MySQL heißt es ausdrücklich, dass der von mysql_real_escape_string() verwendete Zeichensatz von mysql_set_character_set( ). Das Festlegen des Zeichensatzes mit SET NAMES- oder SET CHARACTER SET-Anweisungen hat keinen Einfluss auf den von mysql_real_escape_string() verwendeten Zeichensatz.

Proof-Code

Der folgende Code demonstriert die Sicherheitslücke :

mysql_set_charset('latin1');
$escaped_string = mysql_real_escape_string("'@CHARACTER SET utf8");

In diesem Beispiel setzt mysql_set_charset() den Verbindungszeichensatz auf „latin1“. Die Funktion mysql_real_escape_string() maskiert die Zeichenfolge jedoch immer noch, als ob der Zeichensatz „utf8“ wäre.

Alternativen zu mysql_real_escape_string()

Angesichts dieser Einschränkungen: Es ist ratsam, sich beim SQL-Injection-Schutz nicht ausschließlich auf mysql_real_escape_string() zu verlassen. Erwägen Sie stattdessen die Verwendung der folgenden Alternativen:

• Vorbereitete Anweisungen:Verwenden Sie die PDO- oder MySQLi-Funktionen von PHP, um vorbereitete Anweisungen zum Ausführen von Abfragen zu generieren.
• Zeichen Satzmanipulation: Stellen Sie sicher, dass der richtige Zeichensatz mit mysql_set_charset() eingestellt ist und dass er sich während der Ausführung von Abfragen nicht ändert.
• Validierung und Filterung: Implementieren Sie die Eingabevalidierung und Filtertechniken, um zu verhindern, dass bösartige Zeichen in Abfragen eingefügt werden.

Fazit

Mysql_real_escape_string() bleibt zwar eine gültige Methode zum Escapen von Zeichenfolgen, es ist jedoch wichtig, dies zu tun Seien Sie sich seiner Einschränkungen bewusst und ergreifen Sie zusätzliche Sicherheitsmaßnahmen, um SQL-Injection-Angriffe zu verhindern. Durch das Verständnis und die Behebung dieser Mängel können Entwickler ihre MySQL-Anwendungen effektiv vor böswilligen Eingaben schützen.

Das obige ist der detaillierte Inhalt vonIst „mysql_real_escape_string()' wirklich wirksam gegen SQL-Injection?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!