Maison >développement back-end >tutoriel php >Comment mysql_real_escape_string() surpasse-t-il addlashes() dans la lutte contre l'injection SQL ?
Bien que addlashes() ait pour but d'échapper aux caractères spéciaux, il ne parvient pas à fournir une protection complète contre Attaques par injection SQL. En revanche, mysql_real_escape_string() offre une sécurité renforcée en traitant un plus large éventail de caractères problématiques.
Plus précisément, mysql_real_escape_string() ajoute des barres obliques aux caractères suivants :
\x00, \n, \r, \, ', " and \x1a.
Ce jeu de caractères amélioré garantit que non seulement les guillemets simples et doubles sont échappés, comme avec addlashes(), mais que d'autres caractères potentiellement malveillants sont également neutralisés.
Pour illustrer cette différence, considérons l'exemple suivant :
$string = "' OR 1=1"; $addslashes_example = addslashes($string); // Escapes only single and double quotes $mysql_rescape_example = mysql_real_escape_string($string); // Escapes single, double, and \x1a characters echo $addslashes_example; // Outputs: \' OR 1=1 echo $mysql_rescape_example; // Outputs: \' OR 1=1\'
Comme démontré, mysql_real_escape_string() offre une protection plus robuste en empêchant l'exécution d'une attaque par injection SQL contrefaite, tandis que addlashes() laisse le système vulnérable. Il est crucial de reconnaître que mysql_real_escape_string() et addlashes() sont obsolètes et ne sont plus recommandés pour leur utilisation. Au lieu de cela, des requêtes paramétrées doivent être utilisées pour des interactions de base de données sécurisées et efficaces.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!