Heim >Datenbank >MySQL-Tutorial >Reichen „mysql_real_escape_string()' und „mysql_escape_string()' aus, um MySQL-Injection-Angriffe zu verhindern?
MySQL-Injection-Angriffe: Ein tieferer Einblick
Einführung
Gewährleistung der Sicherheit von Webanwendungen ist von entscheidender Bedeutung, und der Datenbankschutz ist ein wesentlicher Teil dieser Bemühungen. In diesem Artikel wird die Wirksamkeit der Verwendung von mysql_real_escape_string() und mysql_escape_string() beim Schutz vor SQL-Angriffen untersucht.
Sind Escape-Funktionen ausreichend für die Sicherheit?
mysql_real_escape_string() und mysql_escape_string () werden häufig zum Escapen von Daten vor dem Einfügen verwendet in SQL-Abfragen. Sind diese Funktionen jedoch ausreichender Schutz gegen alle Angriffsvektoren?
Expertenmeinung
Experten zufolge bietet mysql_real_escape_string() keinen vollständigen Schutz vor SQL-Injections. Dies liegt daran, dass es nur dazu gedacht ist, PHP-Variablen innerhalb von Abfragen zu maskieren. Es kann keine Escape-Tabellen- oder Spaltennamen oder LIMIT-Felder verarbeiten.
Anfälligkeit für bekannte Angriffe
Betrachten Sie das folgende Beispiel:
$sql = "SELECT number FROM PhoneNumbers " . "WHERE " . mysql_real_escape_string($field) . " = " . mysql_real_escape_string($value);
Diese Abfrage ist anfällig für SQL-Injection, wenn das $field oder $value böswillige Eingaben enthält. Ein Hacker könnte eine bösartige Abfrage erstellen, die Escape umgeht und nicht autorisierte Befehle ausführt.
Spezifische Angriffsvektoren
Eine Demonstration
Der folgende Code zeigt, wie diese Angriffe ausgenutzt werden können:
$sql = sprintf("SELECT url FROM GrabbedURLs WHERE %s LIKE '%s%%' LIMIT %s", mysql_real_escape_string($argv[1]), mysql_real_escape_string($argv[2]), mysql_real_escape_string($argv[3]));
Die Lösung: Vorbereitet Anweisungen
Experten empfehlen die Verwendung vorbereiteter Anweisungen anstelle von Escape-Funktionen. Vorbereitete Anweisungen sind serverseitige Techniken, die garantieren, dass nur gültiges SQL ausgeführt wird. Dieser Ansatz bietet umfassenden Schutz vor bekannten und unbekannten SQL-Injections.
Beispiel für die Verwendung von PDO
$sql = 'SELECT url FROM GrabbedURLs WHERE ' . $column . '=? LIMIT ?'; $statement = $pdo->prepare($sql); $statement->execute(array($value, $limit));
Dieser Code verwendet vorbereitete Anweisungen, um Benutzereingaben zu umgehen und Abfragen auszuführen sicher.
Fazit
Während mysql_real_escape_string() und mysql_escape_string() bieten einen gewissen Schutz vor SQL-Injections, sie reichen jedoch nicht für vollständige Sicherheit aus. Vorbereitete Anweisungen sind der empfohlene Ansatz für eine robuste Datenbanksicherheit.
Das obige ist der detaillierte Inhalt vonReichen „mysql_real_escape_string()' und „mysql_escape_string()' aus, um MySQL-Injection-Angriffe zu verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!