`mysqli_real_escape_string`은 SQL 주입을 방지하기에 충분합니까?

mysqli_real_escape_string은 SQL 주입 및 공격을 완화하는 데 충분합니까?

광범위하게 사용됨에도 불구하고 mysqli_real_escape_string은 SQL 주입에 대한 뚫을 수 없는 방어 수단은 아닙니다. 제공된 예에 설명된 대로:

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);

$query = "INSERT INTO `users` (`email`, `psw`) VALUES ('$email', '$psw')";

이 코드는 mysqli_real_escape_string을 사용하여 작은따옴표를 이스케이프 처리하여 악의적인 입력으로부터 보호하려고 시도합니다. 그러나 이 접근 방식은 다음 공격에서 알 수 있듯이 여전히 SQL 주입에 취약합니다.

myEmail = 'user@example.com' OR 0 = 1

이 경우 주입은 mysqli_real_escape_string이 작은따옴표만 이스케이프한다는 사실을 이용합니다. myEmail = 'user@example.com' OR 0 = 1 문자열을 이메일 필드에 삽입하면 공격자는 인증을 우회하고 무단 액세스 권한을 얻을 수 있습니다.

SQL 삽입을 효과적으로 방지하려면 준비된 명령문을 활용하거나 매개변수화된 명령문을 사용하는 것이 좋습니다. 쿼리. 이러한 메커니즘은 데이터와 명령을 엄격하게 분리하여 입력 오염 가능성을 제거합니다.

준비된 명령문은 사용자가 제공한 매개변수를 사용하여 쿼리를 실행합니다. 이러한 값은 구조를 변경하지 않고 쿼리에 안전하게 삽입됩니다. 예를 들면 다음과 같습니다.

$stmt = $mysqli->prepare("INSERT INTO `users` (`email`, `psw`) VALUES (?, ?)");
$stmt->bind_param("ss", $email, $psw);

준비된 진술이 가능하지 않은 상황에서는 엄격한 화이트리스트를 구현하여 허용 가능한 입력을 제한합니다. 이렇게 하면 안전한 값만 처리됩니다.

결론적으로 mysqli_real_escape_string은 SQL 삽입에 대한 일부 보호 기능을 제공하지만 완벽하지는 않습니다. 화이트리스트와 함께 준비된 명령문 또는 매개변수화된 쿼리는 이러한 공격에 대해 보다 강력한 방어 메커니즘을 제공합니다.

위 내용은 `mysqli_real_escape_string`은 SQL 주입을 방지하기에 충분합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!