mysql_real_escape_string() 안티 주입에 대한 자세한 설명을 구합니다.
mysql_real_escape_string()은 넓은 바이트 및 삽입 문제를 해결할 수 있는 addlashes() 및 mysql_escape_string()에 대한 좋은 대안으로 간주되지만 공식적인 설명은 불분명합니다.
mysql_real_escape_string — 연결의 현재 문자 집합을 고려하여 SQL 문에 사용된 문자열의 특수 문자를 이스케이프합니다.
이 문장이 잘 이해가 안 되네요. 현재 연결 문자 집합이 무엇을 의미하는지 생각해보면 전문가가 자세히 설명해 주실 수 있을까요?
참조:
http://php.net/manual/zh/function.mysql-real-escape-string.php
http://www.cnblogs.com/suihui/archive/2012/ 09/20/2694751.html
http://www.neatstudio.com/show-963-1.shtml
추가 질문: @佢작품작작
1. 추가된 내용은 mysql로 옮겨지지 않아서 ' or 1=1;-- s를 주입하면 여기에 주입된 내용이 결국 mysql로 옮겨져 실행되는 것 아닌가요? 🎜>참고: https://segmentfault.com/q/1010000005994443
현재 연결의 문자셋을 변경한다는게 무슨 뜻인가요?并考虑到连接的当前字符集
mysql_real_escape_string()은 넓은 바이트 및 삽입 문제를 해결할 수 있는 addlashes() 및 mysql_escape_string()에 대한 좋은 대안으로 간주되지만 공식적인 설명은 불분명합니다.
mysql_real_escape_string — 연결의 현재 문자 세트를 고려하여 SQL 문에 사용된 문자열의 특수 문자를 이스케이프합니다.이 문장이 잘 이해가 안 되네요. 현재 연결 문자 집합이 무엇을 의미하는지 생각해보면 전문가가 자세히 설명해 주실 수 있을까요?
참조:
http://php.net/manual/zh/function.mysql-real-escape-string.php
http://www.cnblogs.com/suihui/archive/2012/ 09/20/2694751.html
http://www.neatstudio.com/show-963-1.shtml
1. 추가된 내용은 mysql로 옮겨지지 않아서
를 인젝션하면 여기에 인젝션된 내용이 결국 mysql로 옮겨져 실행되는거 아닌가요? 🎜>참고: https://segmentfault.com/q/1010000005994443' or 1=1;-- s
2.
并考虑到连接的当前字符集
예를 들어, 사용자가 로그인하는 경우 SQL 문이 다음과 같다고 가정합니다.
$sql = "select * from user where user_name='$username' and password='$password'";1. 주입 지점이 있고 탈출구가 없는 경우. 매개변수 사용자 이름=' 또는 1=1;-- s를 전달하면 이때의 SQL 문은
$sql = "select * from user where user_name='' or 1=1;-- s ' and password='$password'"; --는 주석 문자이므로 나중에 우회 성공 여부를 판단할 필요가 없습니다
2 주입 지점이 존재하고 특수 문자 이스케이프가 사용되는 경우. 그렇다면 이때의 SQL 문은
$sql = "select * from user where user_name='' or 1=1;-- s ' and password='$password'"; 우회 불가
3 이때 문제가 발생합니다. 한 멋진 해커가 gbk 인코딩에 wide byte injection이 있다는 것을 발견했습니다. 이때 username=�' 또는 1=1;--
을 전달합니다.이번에 실행된 sql문은 다음과 같습니다.
우회 성공
$sql = "select * from user where user_name='運' or 1=1;-- s ' and password='$password'"; 이 문제를 해결하는 방법
mysql_real_escape_string — 연결의 현재 문자 집합을 고려하여 SQL 문에 사용된 문자열의 특수 문자를 이스케이프합니다.
메서드에 의한
문의 이스케이프 메커니즘은 현재 데이터베이스 연결의 문자 집합이 변경됨에 따라 변경됩니다. 동일한 mysql_real_escape_string 문의 경우 이스케이프된 결과는 다른 문자 집합에서 동일하지 않을 수 있습니다. SQL
SQL중요:
버전 mysql_real_escape_string 이후 사용되지 않는 것으로 표시되어 mysql 버전 PHP 이후 제거된 5.5.0 확장에 속합니다. 데이터베이스 작업에는 PHP 또는 7 확장자를 사용하세요. 데이터베이스 문자 집합에는 mysqli 또는 PDO(더 좋음)을 사용해 보세요. utf8
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7666
15
1393
52
1205
24
91
11
73
19
PHP 및 Python : 두 가지 인기있는 프로그래밍 언어를 비교합니다
Apr 14, 2025 am 12:13 AM
PHP와 Python은 각각 고유 한 장점이 있으며 프로젝트 요구 사항에 따라 선택합니다. 1.PHP는 웹 개발, 특히 웹 사이트의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 간결한 구문을 가진 데이터 과학, 기계 학습 및 인공 지능에 적합하며 초보자에게 적합합니다.
PHP : 웹 개발의 핵심 언어
Apr 13, 2025 am 12:08 AM
PHP는 서버 측에서 널리 사용되는 스크립팅 언어이며 특히 웹 개발에 적합합니다. 1.PHP는 HTML을 포함하고 HTTP 요청 및 응답을 처리 할 수 있으며 다양한 데이터베이스를 지원할 수 있습니다. 2.PHP는 강력한 커뮤니티 지원 및 오픈 소스 리소스를 통해 동적 웹 컨텐츠, 프로세스 양식 데이터, 액세스 데이터베이스 등을 생성하는 데 사용됩니다. 3. PHP는 해석 된 언어이며, 실행 프로세스에는 어휘 분석, 문법 분석, 편집 및 실행이 포함됩니다. 4. PHP는 사용자 등록 시스템과 같은 고급 응용 프로그램을 위해 MySQL과 결합 할 수 있습니다. 5. PHP를 디버깅 할 때 error_reporting () 및 var_dump ()와 같은 함수를 사용할 수 있습니다. 6. 캐싱 메커니즘을 사용하여 PHP 코드를 최적화하고 데이터베이스 쿼리를 최적화하며 내장 기능을 사용하십시오. 7
PHP의 현재 상태 : 웹 개발 동향을 살펴보십시오
Apr 13, 2025 am 12:20 AM
PHP는 현대 웹 개발, 특히 컨텐츠 관리 및 전자 상거래 플랫폼에서 중요합니다. 1) PHP는 Laravel 및 Symfony와 같은 풍부한 생태계와 강력한 프레임 워크 지원을 가지고 있습니다. 2) Opcache 및 Nginx를 통해 성능 최적화를 달성 할 수 있습니다. 3) PHP8.0은 성능을 향상시키기 위해 JIT 컴파일러를 소개합니다. 4) 클라우드 네이티브 애플리케이션은 Docker 및 Kubernetes를 통해 배포되어 유연성과 확장 성을 향상시킵니다.
PHP 대 기타 언어 : 비교
Apr 13, 2025 am 12:19 AM
PHP는 특히 빠른 개발 및 동적 컨텐츠를 처리하는 데 웹 개발에 적합하지만 데이터 과학 및 엔터프라이즈 수준의 애플리케이션에는 적합하지 않습니다. Python과 비교할 때 PHP는 웹 개발에 더 많은 장점이 있지만 데이터 과학 분야에서는 Python만큼 좋지 않습니다. Java와 비교할 때 PHP는 엔터프라이즈 레벨 애플리케이션에서 더 나빠지지만 웹 개발에서는 더 유연합니다. JavaScript와 비교할 때 PHP는 백엔드 개발에서 더 간결하지만 프론트 엔드 개발에서는 JavaScript만큼 좋지 않습니다.
MySQL의 장소 : 데이터베이스 및 프로그래밍
Apr 13, 2025 am 12:18 AM
데이터베이스 및 프로그래밍에서 MySQL의 위치는 매우 중요합니다. 다양한 응용 프로그램 시나리오에서 널리 사용되는 오픈 소스 관계형 데이터베이스 관리 시스템입니다. 1) MySQL은 웹, 모바일 및 엔터프라이즈 레벨 시스템을 지원하는 효율적인 데이터 저장, 조직 및 검색 기능을 제공합니다. 2) 클라이언트 서버 아키텍처를 사용하고 여러 스토리지 엔진 및 인덱스 최적화를 지원합니다. 3) 기본 사용에는 테이블 작성 및 데이터 삽입이 포함되며 고급 사용에는 다중 테이블 조인 및 복잡한 쿼리가 포함됩니다. 4) SQL 구문 오류 및 성능 문제와 같은 자주 묻는 질문은 설명 명령 및 느린 쿼리 로그를 통해 디버깅 할 수 있습니다. 5) 성능 최적화 방법에는 인덱스의 합리적인 사용, 최적화 된 쿼리 및 캐시 사용이 포함됩니다. 모범 사례에는 거래 사용 및 준비된 체계가 포함됩니다
PHP의 지속적인 관련성 : 여전히 살아 있습니까?
Apr 14, 2025 am 12:12 AM
PHP는 여전히 역동적이며 현대 프로그래밍 분야에서 여전히 중요한 위치를 차지하고 있습니다. 1) PHP의 단순성과 강력한 커뮤니티 지원으로 인해 웹 개발에 널리 사용됩니다. 2) 유연성과 안정성은 웹 양식, 데이터베이스 작업 및 파일 처리를 처리하는 데 탁월합니다. 3) PHP는 지속적으로 발전하고 최적화하며 초보자 및 숙련 된 개발자에게 적합합니다.
PHP vs. Python : 핵심 기능 및 기능
Apr 13, 2025 am 12:16 AM
PHP와 Python은 각각 고유 한 장점이 있으며 다양한 시나리오에 적합합니다. 1.PHP는 웹 개발에 적합하며 내장 웹 서버 및 풍부한 기능 라이브러리를 제공합니다. 2. Python은 간결한 구문과 강력한 표준 라이브러리가있는 데이터 과학 및 기계 학습에 적합합니다. 선택할 때 프로젝트 요구 사항에 따라 결정해야합니다.
PHP의 목적 : 동적 웹 사이트 구축
Apr 15, 2025 am 12:18 AM
PHP는 동적 웹 사이트를 구축하는 데 사용되며 해당 핵심 기능에는 다음이 포함됩니다. 1. 데이터베이스와 연결하여 동적 컨텐츠를 생성하고 웹 페이지를 실시간으로 생성합니다. 2. 사용자 상호 작용 및 양식 제출을 처리하고 입력을 확인하고 작업에 응답합니다. 3. 개인화 된 경험을 제공하기 위해 세션 및 사용자 인증을 관리합니다. 4. 성능을 최적화하고 모범 사례를 따라 웹 사이트 효율성 및 보안을 개선하십시오.
