Sollten Backspace- und Tabulatorzeichen in MySQL mit Escapezeichen versehen werden?

Grundlegende Zeichen zur Verhinderung von MySQL-Injections

Um böswillige SQL-Injections zu verhindern, ist es wichtig, bestimmte Zeichen in Benutzereingaben zu maskieren. Die MySQL-API-Funktion mysql_real_escape_string() maskiert Folgendes: , n, r, , ', " und Z.

ESAPIs erweiterte Escape-Zeichenliste

Die OWASP ESAPI Die Sicherheitsbibliothek enthält eine erweiterte Liste von Zeichen, die maskiert werden müssen, einschließlich

b (Rücktaste) und t (Tabulator), was Fragen zu ihrer Notwendigkeit aufwirft.

Potenzielle Sicherheitslücke in der Rücktaste
 
Eine mögliche Erklärung für die Einbindung von b liegt in folgendem Szenario:

Ein Angreifer sendet eine E-Mail mit einer scheinbar harmlosen Anfrage.
Angehängt ist eine Textdatei mit einer böswilligen Anfrage Vorangegangen sind wiederholte Rückschritte, um vorhandene Tabellen zu löschen, bevor die INSERT-Anweisung ausgeführt wird.
Der Empfänger leitet die Datei unabsichtlich an MySQL weiter, ohne sich der versteckten Rückschritte bewusst zu sein.
Die Rückschritte überschreiben die vorherige Abfrage. Möglicherweise werden Daten ohne Wissen des Empfängers gelöscht.

Dies verdeutlicht die potenzielle Bedrohung durch Zeichen wie b. Während der genaue Anwendungsfall etwas spekulativ ist, unterstreicht es die Notwendigkeit eines umfassenden Ansatzes zur Fluchtzeichenprävention Schützen Sie sich selbst vor den ungewöhnlichsten Angriffsvektoren.
Das obige ist der detaillierte Inhalt vonSollten Backspace- und Tabulatorzeichen in MySQL mit Escapezeichen versehen werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!