base de donnéestutoriel mysqlmysql_real_escape_string() est-il vulnérable à l'injection SQL avec des encodages asiatiques ?mysql_real_escape_string() est-il vulnérable à l'injection SQL avec des encodages asiatiques ?
Évaluation de la sécurité de mysql_real_escape_string() contre l'injection SQL avec des codages asiatiques
Question :
Une vulnérabilité de sécurité a été signalée affirmant que mysql_real_escape_string() peut être contournée en utilisant codages de caractères asiatiques spécifiques, tels que BIG5 ou GBK. Cette vulnérabilité est-elle valide, et si oui, comment pouvons-nous l'atténuer sans utiliser d'instructions préparées ?
Réponse :
Selon Stefan Esser, développeur PHP, mysql_real_escape_string( ) n'est pas totalement sécurisé contre l'injection SQL lorsque certains paramètres d'encodage sont utilisé.
Explication :
Le problème survient lorsque la commande SET NAMES est utilisée pour modifier le codage des caractères de la base de données. Ce changement de codage affecte la façon dont les caractères spéciaux, tels que les barres obliques inverses (), sont échappés. Mysql_real_escape_string() suppose un codage par défaut et n'ajuste pas sa logique d'échappement en conséquence.
Par conséquent, si un attaquant utilise un codage qui autorise les barres obliques inverses dans les octets suivants, mysql_real_escape_string() peut ne pas échapper correctement à ces caractères. Cela pourrait conduire à une attaque par injection SQL réussie.
Atténuation :
Pour résoudre cette vulnérabilité lorsque les instructions préparées ne sont pas disponibles :
- Utilisez la fonction mysql_set_charset() pour définir explicitement le codage des caractères de la base de données au lieu de s'appuyer sur SET NAMES. Cela garantit que mysql_real_escape_string() fonctionne avec les informations de codage correctes.
- Passez à un codage sûr, tel que UTF-8, qui gère les barres obliques inverses de manière à empêcher leur utilisation abusive dans les injections SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comment accorder des autorisations aux nouveaux utilisateurs de MySQLMay 09, 2025 am 12:16 AMTOGRANTERMISSIMESTESTERSWMYSQLUSERS, SuivreTheSesteps: 1) AccessMysqlasauserwithSufficientPrivileges, 2) CreateEnewUserwithThereAserercommand, 3) UsethegrantCommandTospecifyPerMissionsLikEselect, insert, mise à jour, OrallegandSonSpecificaCificdataStAtAnSorables, et4), 4).
Comment ajouter des utilisateurs dans MySQL: un guide étape par étapeMay 09, 2025 am 12:14 AMToaddUsersInmysqleffecativement et en résultant, suivez-vous: 1) UsethCreateAsTatement à AddanEwUser, spécifiant le dossier d'astron.
MySQL: ajout d'un nouvel utilisateur avec des autorisations complexesMay 09, 2025 am 12:09 AMToaddanewUserwithComplexPermisessionsInmysql, suivi destiné: 1) Création sword ';. 2) GRANTREADACCESSTOALLTABLESSIn'MYDATABASE'WithGrantsElectonMyDatabase.To'newuser' @ 'LocalHost';. 3) GRANTWRITEACESSTO '
MySQL: Types et collations de données de chaîneMay 09, 2025 am 12:08 AMLes types de données de chaîne dans MySQL incluent Char, Varchar, Binary, Varbinary, Blob et Text. Les collations déterminent la comparaison et le tri des chaînes. 1. Char convient aux chaînes de longueur fixe, Varchar convient aux chaînes de longueur variable. 2.Binara et varbinaire sont utilisés pour les données binaires, et Blob et le texte sont utilisés pour les données de grandes objets. 3. Les règles de tri telles que UTF8MB4_UNICODE_CI ignorent les caractéristiques supérieures et inférieures et conviennent aux noms d'utilisateurs; UTF8MB4_BIN est sensible à la casse et convient aux champs qui nécessitent une comparaison précise.
MySQL: Quelle longueur dois-je utiliser pour Varchars?May 09, 2025 am 12:06 AMLa meilleure sélection de la longueur de la colonne MySqlvarchar doit être basée sur l'analyse des données, considérer la croissance future, évaluer les impacts des performances et les exigences des ensembles de caractères. 1) Analyser les données pour déterminer les longueurs typiques; 2) Réserver l'espace d'expansion future; 3) Faites attention à l'impact de grandes longueurs sur les performances; 4) Considérez l'impact des ensembles de caractères sur le stockage. Grâce à ces étapes, l'efficacité et l'évolutivité de la base de données peuvent être optimisées.
MySQL Blob: Y a-t-il des limites?May 08, 2025 am 12:22 AMMySqlBlobShavelimits: Tinyblob (255 bytes), blob (65 535 bytes), Mediumblob (16 777 215 bytes), et Longblob (4 294 967 295 bytes). Obseffectively: 1) considérer la compréhension de l'Impacts et de laARGELLOBBOBSEXTERNELLEMENT; 2)
MySQL: Quels sont les meilleurs outils pour automatiser la création des utilisateurs?May 08, 2025 am 12:22 AMLes meilleurs outils et technologies pour automatiser la création d'utilisateurs dans MySQL incluent: 1. MySQLWorkbench, adapté à des environnements petits et moyens, faciles à utiliser mais une consommation de ressources élevées; 2. ANSIBLE, adapté aux environnements multi-serveurs, courbe d'apprentissage simple mais abrupte; 3. Scripts Python personnalisés, flexibles mais doivent assurer la sécurité des scripts; 4. Puppet et chef, adapté aux environnements à grande échelle, complexes mais évolutifs. Les besoins d'échelle, de courbe d'apprentissage et d'intégration doivent être pris en compte lors du choix.
MySQL: Puis-je rechercher dans un blob?May 08, 2025 am 12:20 AMOui, YouCansearchInSideAblobinMysQlutingSpecifiCTechniques.1) ConvertTheBlobtoAutf-8StringWithConvertFunctionandSearchusingLiliN.2) ForcompressedBlobs, useUncompressBeForEConversion.3)
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
SublimeText3 version anglaise
Recommandé : version Win, prend en charge les invites de code !
SublimeText3 Linux nouvelle version
Dernière version de SublimeText3 Linux
Adaptateur de serveur SAP NetWeaver pour Eclipse
Intégrez Eclipse au serveur d'applications SAP NetWeaver.
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Navigateur d'examen sécurisé
Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.
