`mysql_real_escape_string()` 真的安全吗：亚洲字符编码可以绕过它的保护吗？

mysql_real_escape_string() 是否能够完全防范 SQL 注入？

最近流传的一项声明称，某些亚洲字符编码可以绕过 mysql_real_escape_string() ，特别是 Big5 和 GBK。这个断言是否有效？如果有效，如何在不诉诸准备好的语句的情况下保护您的网站？

漏洞

根据 Stefan Esser，mysql_real_escape_string()使用 SET NAMES 命令时确实存在漏洞。该命令改变字符编码，使 mysql_real_escape_string() 忽略某些使用反斜杠作为附加字节的多字节编码。这种不正确的转义可能会危及您网站的安全。

安全措施

虽然 UTF-8 编码不易受到此漏洞的影响，但必须使用 mysql_set_charset 来安全地更改编码。但是，此功能仅在较新的 PHP 版本中可用。如果您无法使用准备好的语句或 mysql_set_charset，您可能需要探索替代方法来保护您的网站免受 SQL 注入攻击。

以上是`mysql_real_escape_string()` 真的安全吗：亚洲字符编码可以绕过它的保护吗？的详细内容。更多信息请关注PHP中文网其他相关文章！