Kann addslashes() SQL-Injection-Angriffe wirklich verhindern?

SQL-Injections durch addslashes() verstehen

addslashes() ist eine PHP-Funktion, die häufig zum Escapezeichen von Sonderzeichen in Zeichenfolgen verwendet wird, um SQL-Injection zu verhindern Angriffe. Trotz seiner Absichten kann es jedoch in seltenen Fällen solche Angriffe tatsächlich erleichtern.

Lassen Sie uns ein Beispiel betrachten:

Szenario: Ein Benutzer sendet die Eingabe „' ODER 1=1 -- - " in ein Textfeld.

addslashes() würde die Eingabe in Folgendes umwandeln: "' OR 1=1 -- -", aber wenn die Datenbankkodierung dies unterstützt Bei Verwendung von Multibyte-Zeichen wie Shift-JIS würde das Apostroph als Teil eines Multibyte-Zeichens interpretiert werden, wodurch die beabsichtigte Escape-Funktion effektiv untergraben würde.

Folglich würde die geänderte SQL-Abfrage wie folgt aussehen: „'%OR 1 =1 -- -"

Diese geänderte Abfrage führt den SQL-Injection-Angriff erfolgreich aus, da der Apostroph nicht mehr als Escape-Sequenz, sondern als Teil von a behandelt wird Multibyte-Zeichen.

Das obige ist der detaillierte Inhalt vonKann addslashes() SQL-Injection-Angriffe wirklich verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!