mysql_real_escape_string 足以防止 SQL 注入嗎？

mysql_real_escape_string 要避免的錯誤

儘管 mysql_real_escape_string 是防止 SQL 注入的常用方法，但如果使用不當，可能無法防止攻擊。雖然它可以有效地轉義字串值中的特殊字符，但在某些情況下，其有效性可能會受到影響。

正確用法：引用的字串值

mysql_real_escape_string 僅應在下列情況下使用在 SQL 語句中插入引號引起來的文字內容。例如：

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

不正確的用法

mysql_real_escape_string 的不正確應用可能會導致漏洞。常見錯誤包括：

• 在非引用上下文中使用它（例如，... column_name = $value ...）
• 將其應用於非字串值（例如，數位輸入）
• 在SQL 上下文之外誤用它（例如$sql = mysql_real_escape_string("... foo = '$value' ...")）

編碼注意事項

另一個陷阱是錯誤配置資料庫連接編碼。正確的方法是：

mysql_set_charset('utf8', $link);

但是，使用 mysql_query("SET NAMES 'utf8'", $link) 可能會導致 mysql_ API 假定的編碼與資料庫實際編碼之間的差異。這可能會允許涉及多位元組字串的注入攻擊。

結論

如果如預期使用，mysql_real_escape_string 仍然是一個有價值的工具。然而，認識到其局限性並正確應用它對於防止 SQL 注入漏洞至關重要。建議探索更現代的替代方案，例如準備好的語句，以提高安全性和易用性。

以上是mysql_real_escape_string 足以防止 SQL 注入嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！