Maison >base de données >tutoriel mysql >mysql_real_escape_string() est-il vraiment défectueux ou simplement mal utilisé ?

mysql_real_escape_string() est-il vraiment défectueux ou simplement mal utilisé ?

DDD
DDDoriginal
2024-12-04 10:11:17293parcourir

Is mysql_real_escape_string() Truly Flawed, or Just Misused?

Démystification des failles alléguées : exploration de la fiabilité de mysql_real_escape_string()

Malgré les affirmations selon lesquelles mysql_real_escape_string() présente des lacunes, les preuves suggèrent qu'il fournit des protection contre les vulnérabilités d'injection SQL lors de son utilisation de manière appropriée.

L'examen des soi-disant défauts révèle qu'ils proviennent généralement d'une utilisation inappropriée ou d'informations obsolètes. Comme l'indique explicitement la documentation de l'API MySQL C, il est crucial de définir le jeu de caractères à l'aide des instructions mysql_set_character_set() plutôt que des instructions SET NAMES ou SET CHARACTER SET. Ces dernières options n'affectent pas le jeu de caractères utilisé par mysql_real_escape_string().

mysql_set_charset() de PHP sert de contrepartie à mysql_set_character_set() de MySQL. En l'utilisant pour modifier l'encodage, les développeurs peuvent garantir la compatibilité et éviter les problèmes potentiels.

Exemple de code :

<?php
$mysqli = new mysqli('host', 'user', 'password', 'database');
$mysqli->set_charset('utf8mb4'); // Set utf8mb4 encoding

// Example usage of mysql_real_escape_string()
$escaped_string = mysql_real_escape_string($mysqli->connect_errno, $_POST['username']);

Cette approche définit efficacement le jeu de caractères et échappe correctement aux entrées de l'utilisateur à l'aide de mysql_real_escape_string( ), atténuant le risque d'attaques par injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn