Adakah mysql_real_escape_string() Perisai Kekal Terhadap Suntikan SQL?
Bahagian di justinshattuck.com mencadangkan bahawa mysql_real_escape_string tertentu() Pengekodan aksara Asia. Secara khusus, ia mendakwa bahawa pengekodan memintas mysql_real_escape_string() menggunakan BIG5 atau GBK untuk menyeludup aksara berbahaya ke dalam pertanyaan.
Adakah Kerentanan Ini Nyata?
Menurut Stefan Esser, jawapannya adalah ya yang membingungkan. Dia mendakwa bahawa mysql_real_escape_string() goyah apabila SET NAMES digunakan. Kaedah ini menukar pengekodan untuk memenuhi keperluan aplikasi tanpa memaklumkan mysql_real_escape_string(). Akibatnya, jika pengekodan berbilang bait membenarkan garis miring ke belakang sebagai bait kedua, ketiga atau keempat, masalah akan berlaku. Mysql_real_escape_string() tetap tidak menyedari ketidakteraturan ini dan gagal melepaskan aksara dengan betul.
Melindungi Tapak Web Anda
Esser mencadangkan bahawa UTF-8 kekal sebagai pengekodan yang selamat, tetapi UTF -8 tidak selalu menjadi pilihan. Malangnya, mysql_set_charset, alternatif yang lebih selamat, hanya tersedia dalam versi PHP terkini.
Atas ialah kandungan terperinci Adakah `mysql_real_escape_string()` adalah Pertahanan yang Boleh Dipercayai Terhadap Suntikan SQL dalam Semua Pengekodan Aksara?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
penggunaan fungsi informix
Apakah perbezaan utama antara bahasa c dan python?
Cara memintas panggilan mengganggu
Bagaimana untuk menyambung php ke pangkalan data mssql
Apa yang perlu dilakukan jika tiada kursor apabila mengklik pada kotak input
Bagaimana untuk menukar excel kepada vcf
Pengenalan kepada maksud sintaks tidak sah
CPU
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
