mysql\\_real\\_escape\\_string() 和 mysql\\_escape\\_string() 是否提供足够的保护来防止 SQL 攻击？

Mysql_real_escape_string() 和 Mysql_escape_string() 是否能够防范 SQL 攻击？

应用程序针对 SQL 攻击的安全性是一个至关重要的问题。开发人员经常依赖 mysql_real_escape_string() 和 mysql_escape_string() 等函数来防范这些攻击。然而，这些函数是否足以确保绝对保护？

mysql_real_escape_string() 和 mysql_escape_string() 的局限性

尽管它们表面上很有用，但这些函数在几个方面都有不足:

SQL 注入攻击： 虽然这些函数可以提供针对传统 SQL 注入攻击的部分保护，但它们仍然容易受到高级技术的攻击，例如针对表名、列名或 LIMIT 的攻击

LIKE 攻击：利用 LIKE 运算符的攻击（例如搜索“%”）可能会返回意外结果并危及安全性。

字符集漏洞:字符集漏洞，尤其是 Internet Explorer 中的字符集漏洞，可以让黑客获得重大控制权，包括执行 SQL 注入。

通过准备语句进行主动保护

到为了解决这些限制，安全专家建议使用准备好的语句。准备好的语句通过允许数据库服务器本身处理 SQL 执行来采取主动的方法。此服务器端验证可防止执行意外或恶意的 SQL 查询，从而为已知甚至未知的攻击提供强大的防御。

带有预准备语句的示例代码

下面是一个示例代码，演示了准备好的语句的使用：

$pdo = new PDO($dsn);

$column = 'url';
$value = 'http://www.stackoverflow.com/';
$limit = 1;

$validColumns = array('url', 'last_fetched');

// Validate $column for security
if (!in_array($column, $validColumns) { $column = 'id'; }

$statement = $pdo->prepare('SELECT url FROM GrabbedURLs ' .
                           'WHERE ' . $column . '=? ' .
                           'LIMIT ' . intval($limit));
$statement->execute(array($value));

结论

虽然 mysql_real_escape_string() 和 mysql_escape_string() 提供了一定程度的针对 SQL 的保护攻击，它们有局限性，不足以实现全面的安全性。使用准备好的语句是针对已知和未知攻击提供强大保护的推荐方法。准备好的语句通过利用服务器端验证提供主动防御，确保关键数据的安全并保护应用程序免受漏洞影响。

以上是mysql\\_real\\_escape\\_string() 和 mysql\\_escape\\_string() 是否提供足够的保护来防止 SQL 攻击？的详细内容。更多信息请关注PHP中文网其他相关文章！