mysql_real_escape_string() 是否能够完全防范 SQL 注入?
最近流传的一项声明称,某些亚洲字符编码可以绕过 mysql_real_escape_string() ,特别是 Big5 和 GBK。这个断言是否有效?如果有效,如何在不诉诸准备好的语句的情况下保护您的网站?
漏洞
根据 Stefan Esser,mysql_real_escape_string()使用 SET NAMES 命令时确实存在漏洞。该命令改变字符编码,使 mysql_real_escape_string() 忽略某些使用反斜杠作为附加字节的多字节编码。这种不正确的转义可能会危及您网站的安全。
安全措施
虽然 UTF-8 编码不易受到此漏洞的影响,但必须使用 mysql_set_charset 来安全地更改编码。但是,此功能仅在较新的 PHP 版本中可用。如果您无法使用准备好的语句或 mysql_set_charset,您可能需要探索替代方法来保护您的网站免受 SQL 注入攻击。
以上是`mysql_real_escape_string()` 真的安全吗:亚洲字符编码可以绕过它的保护吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
