首頁 > 資料庫 > mysql教程 > `mysqli_real_escape_string` 足以防止 SQL 注入嗎?

`mysqli_real_escape_string` 足以防止 SQL 注入嗎?

Susan Sarandon
發布: 2024-12-16 13:15:19
原創
487 人瀏覽過

Is `mysqli_real_escape_string` Enough to Prevent SQL Injection?

mysqli_real_escape_string 足以緩解 SQL 注入和攻擊嗎?

儘管 mysqli_real_escape_string 被廣泛使用,但它並不是對 SQL 注入的堅不可摧的防禦。如提供的範例所示:

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);

$query = "INSERT INTO `users` (`email`, `psw`) VALUES ('$email', '$psw')";
登入後複製

此程式碼嘗試透過使用 mysqli_real_escape_string 轉義單引號來防止惡意輸入。然而,這種方法仍然容易受到 SQL 注入的攻擊,正如以下攻擊所示:

myEmail = 'user@example.com' OR 0 = 1
登入後複製

在這種情況下,注入利用了 mysqli_real_escape_string 僅轉義單引號這一事實。透過在 email 欄位中註入字串 myEmail = 'user@example.com' OR 0 = 1,攻擊者可以繞過身份驗證並獲得未經授權的存取。

要有效防止 SQL 注入,請考慮使用準備好的語句或參數化語句查詢。這些機制嚴格地將資料與指令分開,消除了輸入污染的可能性。

準備好的語句使用使用者提供的參數執行查詢。這些值會安全地插入查詢中,而不會改變其結構。例如:

$stmt = $mysqli->prepare("INSERT INTO `users` (`email`, `psw`) VALUES (?, ?)");
$stmt->bind_param("ss", $email, $psw);
登入後複製

在準備好的語句不可行的情況下,實作嚴格的白名單來限制允許的輸入。這確保了只處理安全值。

總之,雖然 mysqli_real_escape_string 提供了一些針對 SQL 注入的保護,但它並不是萬無一失的。準備好的語句或參數化查詢以及白名單提供了針對這些攻擊的更強大的防禦機制。

以上是`mysqli_real_escape_string` 足以防止 SQL 注入嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板