`mysql_real_escape_string()` est-il vraiment efficace contre l'injection SQL ?

Mysql_real_escape_string() est-il cassé ? Une analyse plus approfondie

Malgré son utilisation généralisée, certaines inquiétudes ont été soulevées quant à l'efficacité de mysql_real_escape_string() dans la prévention des attaques par injection SQL. Cet article étudie ces affirmations et explore les limitations et alternatives à cette fonction.

Les défauts de mysql_real_escape_string()

Les inquiétudes concernant mysql_real_escape_string() proviennent de sa dépendance à l'égard du courant jeu de caractères de la connexion MySQL. Cette dépendance peut conduire à des vulnérabilités si le jeu de caractères n'est pas correctement configuré ou s'il est modifié lors de l'exécution d'une requête.

La documentation MySQL indique explicitement que le jeu de caractères utilisé par mysql_real_escape_string() est contrôlé par mysql_set_character_set( ). La définition du jeu de caractères avec les instructions SET NAMES ou SET CHARACTER SET n'affecte pas le jeu de caractères utilisé par mysql_real_escape_string().

Code de preuve

Le code suivant démontre la vulnérabilité :

mysql_set_charset('latin1');
$escaped_string = mysql_real_escape_string("'@CHARACTER SET utf8");

Dans cet exemple, mysql_set_charset() définit le jeu de caractères de connexion sur 'latin1'. Cependant, la fonction mysql_real_escape_string() échappe toujours à la chaîne comme si le jeu de caractères était « utf8 ».

Alternatives à mysql_real_escape_string()

À la lumière de ces limitations, il est conseillé d'éviter de s'appuyer uniquement sur mysql_real_escape_string() pour la protection contre les injections SQL. Envisagez plutôt d'utiliser les alternatives suivantes :

• Instructions préparées : Utilisez les fonctionnalités PDO ou mysqli de PHP pour générer des instructions préparées pour exécuter des requêtes.
• Caractère Manipulation de jeu : Assurez-vous que le jeu de caractères correct est défini à l'aide de mysql_set_charset() et qu'il ne change pas pendant l'exécution des requêtes.
• Validation et filtrage : Implémentez la validation des entrées et techniques de filtrage pour empêcher l'insertion de caractères malveillants dans les requêtes.

Conclusion

Bien que mysql_real_escape_string() reste une méthode valide pour échapper des chaînes, il est important de être conscient de ses limites et utiliser des mesures de sécurité supplémentaires pour empêcher les attaques par injection SQL. En comprenant et en atténuant ces failles, les développeurs peuvent sécuriser efficacement leurs applications MySQL contre les entrées malveillantes.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!