「mysql_real_escape_string()」は SQL インジェクションに対して本当に安全ですか?

mysql_real_escape_string() の欠陥への対処

PHP アプリケーションで広く使用されているにもかかわらず、mysql_real_escape_string() のセキュリティ脆弱性に関する懸念を提起する人もいます。 ）。この関数は、ユーザー入力内の特殊文字をエスケープすることで SQL インジェクション攻撃を防ぐように設計されています。

mysql_real_escape_string() は完全に不適切ですか?

MySQL C API ドキュメントでは、潜在的な可能性を認めています。 mysql_real_escape_string() の問題。接続の文字セットを変更するために SET NAMES/SET CHARACTER SET ステートメントを使用しないことを推奨しています。代わりに、mysql_real_escape_string() を使用する前に関数 mysql_set_character_set() を呼び出す必要があります。

証明コード

PHP 関数 mysql_set_charset() は、mysql_real_escape_string で使用される文字セットを変更します。 ()。これを次のコード スニペットに示します。

このアプローチに従うことで、mysql_real_escape_string() で使用される文字セットを明示的に設定でき、特殊文字が正しくエスケープされるようになります。

以上が「mysql_real_escape_string()」は SQL インジェクションに対して本当に安全ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。