`mysql_real_escape_string()`을 사용해도 SQL 주입이 계속 발생할 수 있습니까?

mysql_real_escape_string()을 사용해도 SQL 주입이 계속 발생할 수 있습니다

mysql_real_escape_string()은 일반적으로 SQL 주입을 방지하는 것으로 알려져 있지만 특정 상황에서는 여전히 SQL 주입이 발생할 수 있습니다. 이 공격이 어떻게 발생하는지에 대한 설명은 다음과 같습니다.

1. 문자 세트 선택:

   • 서버 문자 집합을 ASCII 백슬래시(0x5c) 및 잘못된 멀티바이트 문자(예: gbk)를 허용하는 문자 집합으로 설정하세요. 이는 SET NAMES 문을 통해 달성할 수 있습니다.

2. 페이로드 빌드:

   • 0xbf27로 시작하는 페이로드를 생성합니다. 지정된 문자 세트(예: gbk)에서 이는 잘못된 멀티바이트 문자를 나타내며 Latin1에서 0x27(아포스트로피)로 변환됩니다.

3. mysql_real_escape_string() 작업:

   • mysql_real_escape_string()은 클라이언트가 가정한 문자 세트(Latin1)가 아닌 연결의 문자 세트(GBK)를 기반으로 작동합니다.
   • 백슬래시 뒤에 아포스트로피가 따른다고 가정하여 페이로드를 0x5c27로 이스케이프합니다. 그러나 클라이언트는 여전히 Latin1을 사용하고 있다고 생각하므로 백슬래시(0x5c)는 이스케이프되지 않은 상태로 유지됩니다.

4. 쿼리 실행:

   • 렌더링된 쿼리에는 이스케이프된 콘텐츠 내에 이스케이프되지 않은 아포스트로피가 포함되어 있어 성공적인 주입 공격으로 이어집니다.

PDO 및 MySQLi의 취약점:

• PDO는 기본적으로 시뮬레이션된 준비된 문을 사용하므로 이 공격에 취약합니다.
• MySQLi는 실제 준비된 문을 사용하므로 영향을 받지 않습니다.

완화 조치:

• 연결 인코딩에 취약하지 않은 문자 집합(예: utf8)을 사용하세요.
• mysql_set_charset()/PDO DSN 문자 집합 매개변수를 사용하여 연결 문자 집합을 올바르게 설정하세요.
• PDO에서 시뮬레이션된 준비된 문을 비활성화합니다.

다음 조건을 확인하여:

• 올바른 문자 집합 관리가 가능한 최신 MySQL 버전을 사용하세요
• 또는 취약하지 않은 문자 집합을 사용하세요

이러한 잠재적인 취약점을 완화할 수 있습니다.

위 내용은 `mysql_real_escape_string()`을 사용해도 SQL 주입이 계속 발생할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!