Reicht mysql_real_escape_string aus, um SQL-Injection zu verhindern?

mysql_real_escape_string: Einschränkungen und Verwendung

Einführung

Während mysql_real_escape_string oft zum Schutz vor verwendet wird Bei der SQL-Injection gibt es bestimmte Einschränkungen, die Anwendungen beeinträchtigen können anfällig.

Korrekte Verwendung und Einschränkungen

mysql_real_escape_string ist zum Escapen von Textinhalten gedacht, die als Wert in Anführungszeichen in einer SQL-Anweisung verwendet werden. Eine falsche Anwendung, beispielsweise in Werten ohne Anführungszeichen oder in ganzen SQL-Anweisungen, kann zu Injektionsrisiken führen.

Ungültige oder nicht maskierbare Werte

Numerische Werte und Eingaben ohne Anführungszeichen können nicht effektiv verarbeitet werden mit mysql_real_escape_string entkommen. Für numerische Werte wird die Umwandlung in den entsprechenden Typ empfohlen, während Eingaben ohne Anführungszeichen als Zeichenfolgen innerhalb der Abfrage behandelt werden sollten.

Beispiel für falsche Verwendung

mysql_query('DELETE FROM users WHERE user_id = '.mysql_real_escape_string($input));

Dies Beispiel bietet keinen Schutz vor SQL-Injection, wenn die Eingabe „5 ODER 1=1“ enthält. Beim Escape wird die Eingabe als numerischer Wert behandelt, auch wenn die Abfrage eine Zeichenfolge erwartet. Zur ordnungsgemäßen Handhabung gehört das Umschließen der maskierten Eingabe in Anführungszeichen.

Subtile Schwachstellen

Ein weiteres potenzielles Problem entsteht bei der Verwendung von mysql_query("SET NAMES 'utf8'", $link) zu Legen Sie die Codierung der Datenbankverbindung anstelle von mysql_set_charset('utf8', $link) fest. Dies führt zu einer Diskrepanz zwischen der angenommenen Codierung der Client-API und der Interpretation der Datenbank, was möglicherweise zu Sicherheitslücken bei der Injektion von Multibyte-Strings führt.

Fazit

mysql_real_escape_string weist grundlegende Einschränkungen auf, insbesondere in Gewährleistung der korrekten Verwendung. Es ist wichtig, den beabsichtigten Zweck zu verstehen und eine falsche Anwendung zu vermeiden. Erwägen Sie die Verwendung alternativer und sichererer Methoden wie vorbereitete Anweisungen für einen verbesserten Schutz vor SQL-Injection.

Das obige ist der detaillierte Inhalt vonReicht mysql_real_escape_string aus, um SQL-Injection zu verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!