编码是否会影响 mysql_real_escape_string() 针对 SQL 注入的有效性?
一个据称的漏洞声称可以绕过 mysql_real_escape_string() 函数使用某些亚洲字符编码,例如 BIG5 或 GBK。这引起了人们对该功能作为针对 SQL 注入攻击的全面防御的功效的担忧。
编码对安全的影响
根据安全专家 Stefan Esser 的声明、 mysql_real_escape_string() 与 SET NAMES 命令结合使用时会受到损害。这是因为 SET NAMES 允许动态编码更改,从而绕过 mysql_real_escape_string() 的检测和转义功能。当编码转换为允许反斜杠字符作为非初始字节的多字节格式时,mysql_real_escape_string() 无法正确转义,从而暴露注入攻击的漏洞。
对网站保护的影响
如果应用程序仅依赖 mysql_real_escape_string() 进行 SQL 注入保护,并且使用 SET NAMES 来更改编码,则该网站仍然容易受到攻击。
缓解策略
为了缓解此漏洞,必须避免将 SET NAMES 与 mysql_real_escape_string() 结合使用。相反,应该使用更安全的 mysql_set_charset() 函数来进行编码更改。但是,应该注意的是,此选项仅在更高版本的 PHP 中可用。
其他注意事项
虽然 UTF-8 被认为可以安全地与 mysql_real_escape_string 一起使用( ),实施额外的安全措施(例如使用准备好的语句或输入验证技术)始终是一种良好的做法,以进一步增强针对 SQL 注入攻击的防护。
以上是以下是一些适合文章内容的基于问题的标题: * 编码是否会影响 mysql_real_escape_string() 用于 SQL 注入保护的有效性? * 是mysql_real_escape_s的详细内容。更多信息请关注PHP中文网其他相关文章!
