Les caractères de retour arrière et de tabulation doivent-ils être échappés dans MySQL ?

Comprendre les caractères de prévention des injections MySQL

Pour éviter les injections SQL malveillantes, il est crucial d'échapper à certains caractères dans la saisie utilisateur. La fonction de l'API MySQL mysql_real_escape_string() échappe les éléments suivants : , n, r, , ', " et Z.

Liste étendue des caractères d'échappement de l'ESAPI

L'ESAPI OWASP La bibliothèque de sécurité comprend une liste étendue de caractères à échapper, notamment

b (retour arrière) et t (tabulation), ce qui soulève des questions sur leur nécessité.

Vulnérabilité potentielle de retour arrière
 
Une explication possible de l'inclusion de b réside dans le scénario suivant :

Un attaquant envoie un e-mail avec une requête apparemment anodine.
Vous trouverez ci-joint un fichier texte contenant une requête malveillante. précédé de retours arrière répétés pour supprimer les tables existantes avant d'exécuter l'instruction INSERT.
Le destinataire redirige involontairement le fichier vers MySQL, ignorant les caractères de retour arrière cachés.
Les caractères de retour arrière écrasent la requête précédente, pouvant supprimer des données à l'insu du destinataire.

Cela met en évidence la menace potentielle posée par des personnages comme b. Bien que le cas d'utilisation exact soit quelque peu spéculatif, il souligne la nécessité d'une approche globale pour échapper à la prévention des personnages. protégez-vous même des vecteurs d’attaque les plus inhabituels.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!