MySQLi의 "mysqli_real_escape_string"이 SQL 공격에 충분합니까?
귀하의 코드는 "mysqli_real_escape_string()"을 사용하여 SQL 주입으로부터 보호하려고 시도합니다. 그러나 uri2x에서 알 수 있듯이 이 조치는 부적절합니다.
SQL 주입에 대한 취약점
"mysqli_real_escape_string()"은 특정 문자만 이스케이프하므로 쿼리가 SQL에 취약해집니다. 주입 공격. 예를 들어 다음 코드는 여전히 취약할 수 있습니다.
$email = mysqli_real_escape_string($db_con, $_POST['email']); $query = "SELECT * FROM users WHERE email = '" . $email . "'";
공격자는 "email'@example.com"과 같은 이메일 주소를 입력하여 쿼리를 악용하고 이스케이프된 입력 뒤에 추가 SQL 문을 추가할 수 있습니다.
준비문 사용
대신 "mysqli_real_escape_string()", SQL 주입을 방지하는 가장 효과적인 방법은 준비된 명령문을 사용하는 것입니다. 준비된 문은 쿼리 문자열에서 데이터를 분리하여 데이터 오염을 방지합니다.
$stmt = $db_con->prepare("INSERT INTO users (email, psw) VALUES (?, ?)"); $stmt->bind_param('ss', $email, $psw); $email = mysqli_real_escape_string($db_con, $_POST['email']); $psw = mysqli_real_escape_string($db_con, $_POST['psw']); $stmt->execute();
엄격한 문자 화이트리스트
준비된 문이 불가능한 상황에서는 엄격한 문자를 구현합니다. 화이트리스트는 보안을 보장할 수 있습니다. 여기에는 허용된 문자만 포함되도록 입력을 필터링하는 작업이 포함됩니다.
결론
"mysqli_real_escape_string()"만으로는 SQL 주입으로부터 보호하기에 충분하지 않습니다. 준비된 설명과 엄격한 화이트리스트는 이러한 공격에 대해 더욱 강력한 보호 장치를 제공합니다.
위 내용은 `mysqli_real_escape_string()`은 SQL 주입 공격을 방지하기에 충분합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!