Heim >Datenbank >MySQL-Tutorial >Reicht „mysqli_real_escape_string()' aus, um SQL-Injection-Angriffe zu verhindern?

Reicht „mysqli_real_escape_string()' aus, um SQL-Injection-Angriffe zu verhindern?

Susan Sarandon
Susan SarandonOriginal
2024-12-14 07:41:10658Durchsuche

Is `mysqli_real_escape_string()` Enough to Prevent SQL Injection Attacks?

Ist MySQLis „mysqli_real_escape_string“ ausreichend gegen SQL-Angriffe?

Ihr Code versucht, mit „mysqli_real_escape_string()“ vor SQL-Injections zu schützen. Wie von uri2x angegeben, ist diese Maßnahme jedoch unzureichend.

Anfälligkeit für SQL-Injection

„mysqli_real_escape_string()“ maskiert nur bestimmte Zeichen, sodass Ihre Abfrage für SQL anfällig ist Injektionsattacken. Beispielsweise könnte der folgende Code immer noch angreifbar sein:

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$query = "SELECT * FROM users WHERE email = '" . $email . "'";

Ein Angreifer könnte eine E-Mail-Adresse wie „email'@example.com“ eingeben, um die Abfrage auszunutzen und nach der maskierten Eingabe zusätzliche SQL-Anweisungen hinzuzufügen.

Verwendung vorbereiteter Aussagen

Anstelle von „mysqli_real_escape_string()“, der effektivste Weg, SQL-Injections zu verhindern, ist die Verwendung vorbereiteter Anweisungen. Vorbereitete Anweisungen trennen Daten von der Abfragezeichenfolge und verhindern so eine Datenkontamination.

$stmt = $db_con->prepare("INSERT INTO users (email, psw) VALUES (?, ?)");
$stmt->bind_param('ss', $email, $psw);
$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);
$stmt->execute();

Strikte Zeichen-Whitelisting

In Situationen, in denen vorbereitete Anweisungen nicht möglich sind, implementieren Sie ein striktes Zeichen Whitelist kann Sicherheit garantieren. Dazu gehört das Filtern der Eingabe, um sicherzustellen, dass sie nur zulässige Zeichen enthält.

Schlussfolgerung

„mysqli_real_escape_string()“ allein reicht nicht aus, um vor SQL-Injections zu schützen. Vorbereitete Anweisungen und striktes Whitelisting bieten einen robusteren Schutz gegen diese Angriffe.

Das obige ist der detaillierte Inhalt vonReicht „mysqli_real_escape_string()' aus, um SQL-Injection-Angriffe zu verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn