ホームページ > データベース > mysql チュートリアル > `mysql_real_escape_string()` と `mysql_escape_string()` は SQL インジェクションからアプリを保護するのに十分ですか?

`mysql_real_escape_string()` と `mysql_escape_string()` は SQL インジェクションからアプリを保護するのに十分ですか?

Mary-Kate Olsen
リリース: 2024-12-06 03:34:12
オリジナル
231 人が閲覧しました

Are `mysql_real_escape_string()` and `mysql_escape_string()` Enough to Secure My App from SQL Injection?

MySql_real_escape_string() と mysql_escape_string() はアプリのセキュリティに十分ですか?潜在的な脆弱性の評価

mysql_real_escape_string() と mysql_escape_string() は一般的に使用されているにもかかわらず、SQL 攻撃からデータベースを完全に保護できない可能性があり、さまざまな悪意のあるエクスプロイトに対して脆弱なままになります。

SQLインジェクション攻撃

一般に信じられていることに反して、mysql_real_escape_string() はすべてのシナリオで SQL インジェクションを防ぐことはできません。これは変数データを効果的にエスケープしますが、テーブル名、列名、または LIMIT フィールドを悪意のある操作から保護することはできません。この制限は、攻撃者によって次のようなクエリを作成するために悪用される可能性があります:

$sql = "SELECT number FROM PhoneNumbers WHERE " . mysql_real_escape_string($field) . " = " . mysql_real_escape_string($value);
ログイン後にコピー

熟練したハッカーは、フィールド変数または値変数を操作してこれらのエスケープ関数をバイパスし、悪意のあるクエリを作成する可能性があります。

LIKE SQL 攻撃

LIKE SQL 攻撃も回避できるmysql_real_escape_string() 保護。 LIKE "$data%" ステートメントを含むクエリでは、攻撃者はすべてのレコードに一致する入力として空の文字列を提供し、クレジット カード番号などの機密情報が漏洩する可能性があります。

Charset Exploits

Charset エクスプロイトは、特に Internet Explorer において依然として脅威です。データベースと Web ブラウザの文字セットの違いを悪用することで、攻撃者は SQL サーバーを完全に制御する悪意のあるクエリを実行できます。

LIMIT エクスプロイト

LIMIT エクスプロイトにより許可されます。攻撃者は SQL クエリの LIMIT 句を操作し、それを使用して複数のクエリを結合し、不正なクエリを実行します。

堅牢な防御としてのプリペアド ステートメント

これらの脆弱性に対処し、効果的なアプリ セキュリティを確保するために、プリペアド ステートメントが優先される防御メカニズムとして登場します。プリペアド ステートメントはサーバー側の検証を使用して、承認された SQL ステートメントのみを実行し、既知および未知のエクスプロイトの両方に対する事前の防御を提供します。

プリペアド ステートメントを使用したコード例

$pdo = new PDO($dsn);

$column = 'url';
$value = 'http://www.stackoverflow.com/';
$limit = 1;

$validColumns = array('url', 'last_fetched');

// Validate the $column parameter
if (!in_array($column, $validColumns)) { $column = 'id'; }


$statement = $pdo->prepare('SELECT url FROM GrabbedURLs ' .
                            'WHERE ' . $column . '=? ' .
                            'LIMIT ' . intval($limit));
$statement->execute(array($value));
while (($data = $statement->fetch())) { }
ログイン後にコピー

結論

一方mysql_real_escape_string() と mysql_escape_string() は、SQL 攻撃に対するある程度の保護を提供しますが、確実ではありません。プリペアド ステートメントの実装は、アプリケーションを幅広い脆弱性から保護し、アプリのセキュリティを強化する、より包括的で堅牢なソリューションです。

以上が`mysql_real_escape_string()` と `mysql_escape_string()` は SQL インジェクションからアプリを保護するのに十分ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート