为什么 ESAPI 在 SQL 注入防护中转义退格键 (\\b) 和制表符 (\\t) 字符？

MySQL 注入预防：转义字符以获得最大安全性

预防 SQL 注入对于保护数据库免受恶意攻击至关重要。使用 mysql_real_escape_string() 函数时，字符、n、r、\、'、" 和 Z 会被转义以防止注入尝试。

但是，OWASP.org 的 ESAPI 安全库包含用于转义的附加字符，包括 b（退格键）和 t（制表符）。问题是：为什么包含这些字符以及它们真的有必要吗？

转义预防中的制表符和退格符

ESAPI 转义机制中包含 b 和 t 字符可能与使用这些字符进行注入尝试的可能性有关：

攻击者发送包含以下附加文本文件的电子邮件。查询：

INSERT INTO students VALUES ("Bobby Tables",12,"abc",3.6);

这似乎是一个无害的查询，但是，攻击者巧妙地在查询之前放置了退格字符，如下所示：

DROP TABLE students;\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b

当接收者发送文件时。并将其传输到MySQL，退格字符覆盖无害的查询，导致恶意DROP TABLE学生；命令在收件人不知情的情况下执行。

此外，制表符 (t) 可能会用于对齐查询中的恶意代码，从而增强其可读性并使其更难以检测。因此，转义这些字符可以针对潜在的注入尝试提供额外的保护。

以上是为什么 ESAPI 在 SQL 注入防护中转义退格键 (\\b) 和制表符 (\\t) 字符？的详细内容。更多信息请关注PHP中文网其他相关文章！