mysql_real_escape_string est-il vraiment sécurisé contre les attaques par injection SQL ?

Limitations de mysql_real_escape_string

La fonction mysql_real_escape_string de PHP a été critiquée pour ne pas fournir une protection complète contre les attaques par injection SQL, ce qui soulève des questions sur son potentiel. lacunes. Alors que certains ont avancé que l'utilisation incorrecte de la fonction était à blâmer, d'autres ont exprimé des inquiétudes quant à ses limites inhérentes.

Restrictions d'utilisation

L'un des principaux problèmes de mysql_real_escape_string est qu'il doit être utilisé exactement comme prévu. Il est conçu pour échapper les valeurs de texte destinées à être utilisées entre guillemets simples dans les instructions SQL, comme indiqué ci-dessous :

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

Application de mysql_real_escape_string dans tout autre contexte, par exemple lorsque vous l'utilisez pour échapper des valeurs utilisées en dehors des guillemets, peut conduire à des vulnérabilités.

Exemple de contournement mysql_real_escape_string

Un exemple d'attaque pouvant contourner mysql_real_escape_string se produit lorsqu'il est utilisé pour échapper à des valeurs numériques. Considérons la requête suivante :

mysql_query('DELETE FROM users WHERE user_id = '.mysql_real_escape_string($input));

Si l'entrée est "5 OR 1=1", la requête sera :

DELETE FROM users WHERE user_id = 5 OR 1=1

Cette requête supprimera tous les utilisateurs, car " La condition OR 1=1" est toujours vraie. Cette attaque démontre l'importance d'utiliser les types de données corrects et les méthodes d'échappement en fonction du contexte.

Gestion incorrecte des encodages

Un autre piège potentiel avec mysql_real_escape_string est lié au caractère encodages. Si le codage de connexion à la base de données n'est pas défini correctement, cela peut entraîner des incohérences entre la façon dont mysql_real_escape_string échappe les chaînes et la façon dont la base de données les interprète. Cet écart peut créer des vulnérabilités dans des circonstances spécifiques, en particulier lorsqu'il s'agit de chaînes multi-octets.

Conclusion

Bien que mysql_real_escape_string puisse être un outil efficace lorsqu'il est utilisé correctement, ses limites et les le risque de mauvaise application en fait une option moins fiable pour prévenir les attaques par injection SQL. Il est conseillé d'utiliser des approches alternatives telles que des instructions préparées, des requêtes paramétrées ou des API de base de données plus modernes qui offrent une protection plus robuste contre les vulnérabilités d'injection.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!