Adakah String-Escaping Membersihkan Suntikan SQL dengan Berkesan?

String-Escaping: Pertahanan yang Tidak Mencukupi Terhadap Suntikan SQL

Keselamatan pangkalan data adalah yang terpenting, terutamanya apabila mengendalikan data yang dibekalkan pengguna dalam pertanyaan SQL. Walaupun pertanyaan berparameter adalah standard emas, sesetengah pembangun meneroka kaedah alternatif, selalunya kurang selamat. Satu teknik sedemikian melibatkan melepaskan petikan tunggal dan membungkus input dalam petikan tunggal. Jom kita semak keberkesanannya.

Kaedah: Melarikan Diri Petikan Tunggal

Pendekatan ini menggantikan petikan tunggal (') dalam input pengguna dengan petikan tunggal berganda ('') untuk mengelakkan penamatan rentetan. Keseluruhan rentetan yang diubah suai kemudiannya disertakan dalam petikan tunggal. Andaian ini akan menghalang sebarang aksara berikutnya, seperti koma bertitik atau tanda peratus, daripada dilaksanakan sebagai sebahagian daripada arahan SQL.

Mengapa Kaedah Ini Gagal

Pendekatan ringkas ini jelas terdedah kepada pelbagai serangan suntikan SQL:

• Backslash Escaping: Pangkalan data seperti MySQL membenarkan garis miring ke belakang untuk melarikan diri dari petikan tunggal. Penyerang boleh mengeksploitasi ini untuk menyuntik kod SQL yang berniat jahat dengan menggunakan garis miring ke belakang sebelum petikan tunggal penutup.
• Serangan Berbilang Pernyataan: Input yang mengandungi berbilang pernyataan SQL yang dipisahkan oleh koma bertitik boleh melaksanakan perintah tambahan yang berbahaya selepas input yang terlepas.
• Suntikan Komen: Penyerang boleh menggunakan aksara ulasan (cth., -- dalam MySQL) untuk memintas input yang terlepas dan menyuntik kod SQL mereka sendiri.
• Kelemahan Penyenaraian Hitam: Teknik ini bergantung pada pendekatan senarai hitam – menyekat aksara tertentu. Ini pada asasnya kurang selamat berbanding penyenaraian putih, di mana hanya input yang dibenarkan secara eksplisit diterima.

Penyelesaian Selamat: Pertanyaan Berparameter

String escaping ialah kaedah yang tidak boleh dipercayai dan lapuk untuk menghalang suntikan SQL. Banyak kajian penyelidikan telah mengesahkan kelemahannya. Amalan terbaik yang disyorkan kekal menggunakan pertanyaan berparameter (atau pernyataan yang disediakan). Pendekatan ini memisahkan input pengguna daripada kod SQL itu sendiri, menghapuskan sepenuhnya risiko suntikan. Parameterisasi menyediakan pertahanan yang teguh dan berkesan terhadap serangan suntikan SQL.

Atas ialah kandungan terperinci Adakah String-Escaping Membersihkan Suntikan SQL dengan Berkesan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!