mysql_real_escape_string は SQL インジェクションを防ぐのに十分ですか?

mysql_real_escape_string で避けるべき間違い

mysql_real_escape_string は SQL インジェクションを防ぐために一般的に使用される方法であるにもかかわらず、不適切に使用すると攻撃から保護できない可能性があります。 。文字列値内の特殊文字を効率的にエスケープしますが、その有効性が損なわれる特定のシナリオが発生する可能性があります。

正しい使用法: 引用符で囲まれた文字列値

mysql_real_escape_string は、次の場合にのみ使用する必要があります。 SQL ステートメントに引用符で囲まれたテキスト コンテンツを挿入する。例:

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

誤った使用法

mysql_real_escape_string の誤った適用は脆弱性を引き起こす可能性があります。よくある間違いは次のとおりです。

• 引用符で囲まれていないコンテキストでの使用 (例: ... column_name = $value ...)
• 文字列以外の値への適用 (例:数値入力)
• SQL コンテキスト外での誤用 (例: $sql = mysql_real_escape_string("... foo = '$value' ..."))

エンコーディングに関する考慮事項

もう 1 つの落とし穴は、データベース接続エンコーディングの構成を誤っていることです。正しい方法は次のとおりです:

mysql_set_charset('utf8', $link);

ただし、mysql_query("SET NAMES 'utf8'", $link) を使用すると、mysql_API の想定されたエンコーディングとデータベースの実際のエンコーディングの間に矛盾が生じる可能性があります。これにより、マルチバイト文字列を含むインジェクション攻撃が可能になる可能性があります。

結論

mysql_real_escape_string は、意図したとおりに使用すれば、依然として貴重なツールです。ただし、SQL インジェクションの脆弱性を防ぐには、その制限を認識し、正しく適用することが不可欠です。セキュリティと使いやすさを向上させるために、準備されたステートメントなど、より現代的な代替手段を検討することをお勧めします。

以上がmysql_real_escape_string は SQL インジェクションを防ぐのに十分ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。