mysql_real_escape_string()真的能防止SQL注入攻击吗？

SQL 注入绕过 mysql_real_escape_string()

尽管人们普遍认为，在 SQL 注入中绕过 mysql_real_escape_string() 保护措施是可能的。这尤其令人担忧，因为通常依赖此功能来防御此类攻击。

漏洞利用

原始帖子中概述了演示此漏洞的攻击。关键是结合某些字符集（例如 gbk）来利用特定的字符序列（“xbfx27”）。当在这些条件下由 mysql_real_escape_string() 处理时，有效负载会产生未转义的 ' 字符，然后可以利用该字符进行注入。

影响

此漏洞鉴于 mysql_real_escape_string() 作为 SQL 注入防御机制的流行，它具有深远的影响。它会影响使用 mysql_ 或 PDO_MySQL 扩展的 PHP 应用程序，特别是当使用易受攻击的字符集或依赖 PDO 的模拟准备语句时。

安全实践

缓解此问题漏洞，必须遵守最佳实践：

• 迁移到不存在的 MySQL 版本受 mysql_real_escape_string() bug（5.1.20、5.0.22 或 5.1.11）影响。
• 使用不易受攻击的字符集进行连接编码（例如 utf8、utf8mb4）。
• 禁用 PDO 中的模拟准备语句(PDO::ATTR_EMULATE_PREPARES)。
• 利用 PDO 的 DSN 字符集参数在 PHP 5.3.6 或更高版本中正确设置连接编码。
• 考虑在 PDO 或 MySQLi 中使用真正的预准备语句，它们是不受此漏洞的影响。

按照这些准则，您可以增强数据库应用程序的安全性并防止试图绕过 mysql_real_escape_string() 函数的 SQL 注入攻击。

以上是mysql_real_escape_string()真的能防止SQL注入攻击吗？的详细内容。更多信息请关注PHP中文网其他相关文章！