Reicht „mysqli_real_escape_string()' aus, um SQL-Injection-Angriffe zu verhindern?-MySQL-Tutorial-php.cn

Reicht „mysqli_real_escape_string()' aus, um SQL-Injection-Angriffe zu verhindern?

Susan Sarandon

Freigeben： 2024-12-14 07:41:10

Original

656 Leute haben es durchsucht

Is `mysqli_real_escape_string()` Enough to Prevent SQL Injection Attacks?

Ist MySQLis „mysqli_real_escape_string“ ausreichend gegen SQL-Angriffe?

Ihr Code versucht, mit „mysqli_real_escape_string()“ vor SQL-Injections zu schützen. Wie von uri2x angegeben, ist diese Maßnahme jedoch unzureichend.

Anfälligkeit für SQL-Injection

„mysqli_real_escape_string()“ maskiert nur bestimmte Zeichen, sodass Ihre Abfrage für SQL anfällig ist Injektionsattacken. Beispielsweise könnte der folgende Code immer noch angreifbar sein:

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$query = "SELECT * FROM users WHERE email = '" . $email . "'";

Nach dem Login kopieren

Ein Angreifer könnte eine E-Mail-Adresse wie „email'@example.com“ eingeben, um die Abfrage auszunutzen und nach der maskierten Eingabe zusätzliche SQL-Anweisungen hinzuzufügen.

Verwendung vorbereiteter Aussagen

Anstelle von „mysqli_real_escape_string()“, der effektivste Weg, SQL-Injections zu verhindern, ist die Verwendung vorbereiteter Anweisungen. Vorbereitete Anweisungen trennen Daten von der Abfragezeichenfolge und verhindern so eine Datenkontamination.

$stmt = $db_con->prepare("INSERT INTO users (email, psw) VALUES (?, ?)");
$stmt->bind_param('ss', $email, $psw);
$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);
$stmt->execute();

Nach dem Login kopieren

Strikte Zeichen-Whitelisting

In Situationen, in denen vorbereitete Anweisungen nicht möglich sind, implementieren Sie ein striktes Zeichen Whitelist kann Sicherheit garantieren. Dazu gehört das Filtern der Eingabe, um sicherzustellen, dass sie nur zulässige Zeichen enthält.

Schlussfolgerung

„mysqli_real_escape_string()“ allein reicht nicht aus, um vor SQL-Injections zu schützen. Vorbereitete Anweisungen und striktes Whitelisting bieten einen robusteren Schutz gegen diese Angriffe.

Das obige ist der detaillierte Inhalt vonReicht „mysqli_real_escape_string()' aus, um SQL-Injection-Angriffe zu verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!