Reichen „mysql_real_escape_string()' und „mysql_escape_string()' aus, um MySQL-Injection-Angriffe zu verhindern?

MySQL-Injection-Angriffe: Ein tieferer Einblick

Einführung

Gewährleistung der Sicherheit von Webanwendungen ist von entscheidender Bedeutung, und der Datenbankschutz ist ein wesentlicher Teil dieser Bemühungen. In diesem Artikel wird die Wirksamkeit der Verwendung von mysql_real_escape_string() und mysql_escape_string() beim Schutz vor SQL-Angriffen untersucht.

Sind Escape-Funktionen ausreichend für die Sicherheit?

mysql_real_escape_string() und mysql_escape_string () werden häufig zum Escapen von Daten vor dem Einfügen verwendet in SQL-Abfragen. Sind diese Funktionen jedoch ausreichender Schutz gegen alle Angriffsvektoren?

Expertenmeinung

Experten zufolge bietet mysql_real_escape_string() keinen vollständigen Schutz vor SQL-Injections. Dies liegt daran, dass es nur dazu gedacht ist, PHP-Variablen innerhalb von Abfragen zu maskieren. Es kann keine Escape-Tabellen- oder Spaltennamen oder LIMIT-Felder verarbeiten.

Anfälligkeit für bekannte Angriffe

Betrachten Sie das folgende Beispiel:

$sql = "SELECT number FROM PhoneNumbers " .
       "WHERE " . mysql_real_escape_string($field) . " = " . mysql_real_escape_string($value);

Diese Abfrage ist anfällig für SQL-Injection, wenn das $field oder $value böswillige Eingaben enthält. Ein Hacker könnte eine bösartige Abfrage erstellen, die Escape umgeht und nicht autorisierte Befehle ausführt.

Spezifische Angriffsvektoren

• LIKE-Angriffe: mysql_real_escape_string( ) ist gegen LIKE-Angriffe wie LIKE „$data%“ unwirksam. Dadurch können alle Datensätze in einer Tabelle offengelegt werden, wodurch möglicherweise vertrauliche Informationen preisgegeben werden.
• Charset-Exploits: Diese Exploits nutzen Schwachstellen im Internet Explorer und bei der Verarbeitung von PHP-Zeichensätzen aus. Sie können es Hackern ermöglichen, beliebige SQL-Abfragen auszuführen.

Eine Demonstration

Der folgende Code zeigt, wie diese Angriffe ausgenutzt werden können:

$sql = sprintf("SELECT url FROM GrabbedURLs WHERE %s LIKE '%s%%' LIMIT %s",
               mysql_real_escape_string($argv[1]),
               mysql_real_escape_string($argv[2]),
               mysql_real_escape_string($argv[3]));

• Eingabe 1: Gibt URLs zurück, die mit beginnen „http://www.reddit.com“
• Eingabe 2: Gibt jedes Ergebnis zurück (ein Exploit)
• Eingabe 3: Wird unerwartet ausgeführt SQL-Abfragen

Die Lösung: Vorbereitet Anweisungen

Experten empfehlen die Verwendung vorbereiteter Anweisungen anstelle von Escape-Funktionen. Vorbereitete Anweisungen sind serverseitige Techniken, die garantieren, dass nur gültiges SQL ausgeführt wird. Dieser Ansatz bietet umfassenden Schutz vor bekannten und unbekannten SQL-Injections.

Beispiel für die Verwendung von PDO

$sql = 'SELECT url FROM GrabbedURLs WHERE ' . $column . '=? LIMIT ?';
$statement = $pdo->prepare($sql);
$statement->execute(array($value, $limit));

Dieser Code verwendet vorbereitete Anweisungen, um Benutzereingaben zu umgehen und Abfragen auszuführen sicher.

Fazit

Während mysql_real_escape_string() und mysql_escape_string() bieten einen gewissen Schutz vor SQL-Injections, sie reichen jedoch nicht für vollständige Sicherheit aus. Vorbereitete Anweisungen sind der empfohlene Ansatz für eine robuste Datenbanksicherheit.

Das obige ist der detaillierte Inhalt vonReichen „mysql_real_escape_string()' und „mysql_escape_string()' aus, um MySQL-Injection-Angriffe zu verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!