MySQL 中的退格键和制表符应该转义吗？

了解 MySQL 注入防护字符

为了防止恶意 SQL 注入，转义用户输入中的某些字符至关重要。 MySQL API 函数 mysql_real_escape_string() 对以下字符进行转义：、n、r、、'、" 和 Z。

ESAPI 的扩展转义字符列表

OWASP ESAPI安全库包含要转义的扩展字符列表，包括

b（退格键）和 t（制表符），引发了对其必要性的疑问。<p></p>
<p><strong>潜在的退格漏洞</strong></p> <p>包含 b 的一个可能的解释是以下情况：</p>
<ul>
<li>攻击者发送一封电子邮件，其中包含看似无害的查询。</li>
<li>附件是包含恶意查询的文本文件在执行 INSERT 语句之前重复使用退格键删除现有表。</li>
<li>接收者无意中将文件通过管道传输到 MySQL，不知道隐藏的退格字符。</li>
<li>退格字符会覆盖之前的查询，可能会在收件人不知情的情况下删除数据。</li>
</ul>
<p>这凸显了 b 等字符构成的潜在威胁，虽然确切的用例有些推测性，但它强调需要一种全面的方法来逃避字符预防防范最不寻常的攻击媒介。</p><p>以上是MySQL 中的退格键和制表符应该转义吗？的详细内容。更多信息请关注PHP中文网其他相关文章！</p>