防止 SQL 注入:mysql_real_escape_string() 的局限性
虽然 mysql_real_escape_string() 通常用于防止 SQL 注入,但它已被广泛用于防止 SQL 注入。声称可以在不使用预准备语句的网站上使用特定的亚洲字符编码来绕过它。
绕过问题
根据 Justin Shattuck 的说法,绕过是可以通过使用 Big5 或 GBK 字符编码中的字符来实现。这些编码允许反斜杠表示为二级或更高阶字节,这可能会混淆 mysql_real_escape_string() 使其无法正确转义它们。
Stefan Esser 的解释
Stefan Esser 状态该漏洞是由于 mysql_real_escape_string() 不知道通过 SET NAMES 所做的更改而产生的,而 SET NAMES 可以切换编码。当使用多字节编码时,反斜杠可以表示为多个字节,可能会绕过转义过程。
UTF-8 安全吗?
Esser 指出UTF-8 是此问题的一个例外,因为它可以正确处理任何字节位置的反斜杠。不过,他建议使用 mysql_set_charset 来更改编码,因为它是一个更安全、更新的选项。
建议
要完全防止 SQL 注入,建议使用准备好的语句,这些语句不易受到此绕过问题的影响。如果准备好的语句不是一个选项,您应该考虑以下事项:
以上是mysql_real_escape_string() 真的安全吗?亚洲字符编码的潜在陷阱。的详细内容。更多信息请关注PHP中文网其他相关文章!
