Rumah > pembangunan bahagian belakang > tutorial php > Adakah `mysql_real_escape_string()` Benar-benar Selamat: Bolehkah Pengekodan Aksara Asia Melangkaui Perlindungannya?

Adakah `mysql_real_escape_string()` Benar-benar Selamat: Bolehkah Pengekodan Aksara Asia Melangkaui Perlindungannya?

Susan Sarandon
Lepaskan: 2024-10-26 18:17:02
asal
924 orang telah melayarinya

Is `mysql_real_escape_string()` Truly Safe: Can Asian Character Encodings Bypass its Protection?

Adakah mysql_real_escape_string() Melindungi Sepenuhnya Terhadap SQL Injection?

Tuntutan baru-baru ini diedarkan bahawa mysql_real_escape_string() boleh dipintas dengan beberapa aksara Asia , khususnya Big5 dan GBK. Adakah pernyataan ini sah, dan jika ya, bagaimanakah anda boleh melindungi tapak web anda tanpa menggunakan pernyataan yang disediakan?

Kerentanan

Menurut Stefan Esser, mysql_real_escape_string() memberikan kelemahan apabila arahan SET NAMES digunakan. Perintah ini mengubah pengekodan aksara, menjadikan mysql_real_escape_string() tidak menyedari pengekodan berbilang bait tertentu yang menggunakan garis miring ke belakang sebagai bait tambahan. Melarikan diri yang salah ini boleh menjejaskan keselamatan tapak web anda.

Perlindungan

Walaupun pengekodan UTF-8 tidak terdedah kepada eksploitasi ini, adalah penting untuk menggunakan mysql_set_charset untuk mengubah pengekodan dengan selamat . Fungsi ini, bagaimanapun, hanya tersedia dalam versi PHP yang lebih baharu. Jika anda tidak boleh menggunakan penyata yang disediakan atau mysql_set_charset, anda mungkin perlu meneroka kaedah alternatif untuk melindungi tapak web anda daripada serangan suntikan SQL.

Atas ialah kandungan terperinci Adakah `mysql_real_escape_string()` Benar-benar Selamat: Bolehkah Pengekodan Aksara Asia Melangkaui Perlindungannya?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan