`mysqli_real_escape_string`은 SQL 주입에 대한 완벽한 보호를 제공합니까?

"mysqli_real_escape_string"을 사용하여 SQL 주입을 완전히 방지할 수 있습니까?

다음 예제 코드를 고려하세요.

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);

$query = "INSERT INTO `users` (`email`,`psw`) 
           VALUES ('" . $email . "','" . $psw . "')";

이 코드는 SQL 삽입 및 기타 공격으로부터 안전한가요? 공격?

답변: 아니요.

제공된 코드 예제에서 강조한 것처럼 "mysqli_real_escape_string"만으로는 SQL 주입에 대한 보호를 보장하기에 충분하지 않습니다. . 공격자는 구현 시 취약점을 악용하여 필터링을 우회하고 애플리케이션을 손상시킬 수 있습니다.

권장 솔루션:

SQL 삽입을 방지하는 가장 효과적인 방법은 다음을 사용하는 것입니다. 준비된 진술. 준비된 문은 SQL 쿼리에서 데이터를 분리하여 외부 입력이 쿼리 구조를 방해하지 않도록 합니다. 또한 의도된 목적에 맞게 데이터를 필터링하려면 엄격한 화이트리스트를 구현하는 것이 좋습니다. 이 접근 방식은 SQL 삽입 및 기타 보안 취약점의 위험을 최소화합니다.

준비된 문을 사용한 보안 쿼리의 예:

$stmt = $db->prepare(
    "SELECT * FROM table 
    WHERE col = ? ORDER BY {$sortby} ASC 
    LIMIT ?, ?"
);
$stmt->execute(['value', $start, $howmany]);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

이러한 조치를 통합하면 다음을 수행할 수 있습니다. 악의적인 공격에 대비하여 SQL 작업의 보안을 크게 강화합니다.

위 내용은 `mysqli_real_escape_string`은 SQL 주입에 대한 완벽한 보호를 제공합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!