recherche
Maisonbase de donnéestutoriel mysqlL'injection SQL peut-elle encore se produire même avec `mysql_real_escape_string ()`?

L'injection SQL peut-elle encore se produire même avec `mysql_real_escape_string ()`?

DDD
DDD
Jan 25, 2025 pm 09:18 PM

Can SQL Injection Still Occur Even with `mysql_real_escape_string()`?

Même si vous utilisez mysql_real_escape_string (), l'injection SQL peut encore se produire

Bien que l'on croit généralement que MySQL_REAL_ESCAPE_STRING () peut empêcher l'injection de SQL, dans des cas spécifiques, l'injection SQL peut encore se produire. Ce qui suit explique comment cette attaque s'est produite:

    Sélection du jeu de caractères:

  1. Définissez le jeu de caractères du serveur pour permettre la pente ASCII Back (0x5c) et le jeu de caractères multi-lignes non valide (par exemple, GBK). Cela peut être implémenté via l'instruction SET NOMS.

    Construction de charge efficace:

  2. Créez une charge efficace à partir de 0xbf27. Dans le jeu de caractères spécifié (par exemple, GBK), cela signifie un caractère multi-ligne non valide qui sera converti en 0x27 (ship) dans Latin1.

      • MySQL_REAL_ESCAPE_STRING () Opération:

  3. mysql_real_escape_string () Basé sur des opérations de caractères connectés (GBK), plutôt que sur le jeu de caractères truqué client (Latin1). Il sera efficace d'être valide à 0x5c27. Cependant, comme le client estime toujours qu'il utilise Latin1, l'arrière-plan (0x5c) n'est toujours pas rentable.

    • Exécution de la requête:
  4. La requête de rendu contient un skimmer non préparé dans le contenu de la justice, ce qui conduit à une attaque d'injection réussie.

      PDO et MySqli Vulnérabilités:
    5. L'utilisation par défaut de PDO des instructions de pré-procédé analogique, qui est facilement attaqué.

MySQLI n'est pas affecté car il utilise une véritable instruction de pré-procédure.

Soulagez les mesures:
  • Utiliser des jeux de caractères non-attaquant pour connecter le codage (par exemple, UTF8).
Utilisez mysql_set_charset () / PDO Les paramètres de définition de caractères DSN définissent correctement le jeu de caractères de connexion.

Désactiver les instructions de pré-procédure de simulation dans l'OPD.

    Les conditions suivantes sont vérifiées:
  • Version MySQL moderne avec la gestion du jeu de caractères correct
  • ou utilisez des jeux de caractères non vulnérables

Vous pouvez réduire cette lacune potentielle.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article connexe
Quelles sont les procédures stockées dans MySQL?Quelles sont les procédures stockées dans MySQL?May 01, 2025 am 12:27 AM

Les procédures stockées sont des instructions SQL précompilées dans MySQL pour améliorer les performances et simplifier les opérations complexes. 1. Améliorer les performances: après la première compilation, les appels ultérieurs n'ont pas besoin d'être recompilés. 2. Améliorez la sécurité: restreignez l'accès à la table de données grâce au contrôle de l'autorisation. 3. Simplifier les opérations complexes: combinez plusieurs instructions SQL pour simplifier la logique de la couche d'application.

Comment fonctionne la mise en cache de requête dans MySQL?Comment fonctionne la mise en cache de requête dans MySQL?May 01, 2025 am 12:26 AM

Le principe de travail du cache de requête MySQL consiste à stocker les résultats de la requête sélectionnée, et lorsque la même requête est à nouveau exécutée, les résultats mis en cache sont directement renvoyés. 1) Le cache de requête améliore les performances de lecture de la base de données et trouve des résultats mis en cache grâce aux valeurs de hachage. 2) Configuration simple, définissez query_cache_type et query_cache_size dans le fichier de configuration mysql. 3) Utilisez le mot-clé SQL_NO_CACH pour désactiver le cache de requêtes spécifiques. 4) Dans les environnements de mise à jour à haute fréquence, le cache de requête peut provoquer des goulots d'étranglement des performances et doit être optimisé pour une utilisation par la surveillance et l'ajustement des paramètres.

Quels sont les avantages de l'utilisation de MySQL sur d'autres bases de données relationnelles?Quels sont les avantages de l'utilisation de MySQL sur d'autres bases de données relationnelles?May 01, 2025 am 12:18 AM

Les raisons pour lesquelles MySQL sont largement utilisées dans divers projets comprennent: 1. Haute performances et évolutivité, en prenant en charge plusieurs moteurs de stockage; 2. Facile à utiliser et à maintenir, configuration simple et outils riches; 3. Écosystème riche, attirant un grand nombre de supports d'outils communautaires et tiers; 4. Prise en charge multiplateforme, adaptée à plusieurs systèmes d'exploitation.

Comment gérez-vous les mises à niveau de la base de données dans MySQL?Comment gérez-vous les mises à niveau de la base de données dans MySQL?Apr 30, 2025 am 12:28 AM

Les étapes de mise à niveau de la base de données MySQL incluent: 1. Sauvegarder la base de données, 2. Arrêtez le service MySQL actuel, 3. Installez la nouvelle version de MySQL, 4. Démarrez la nouvelle version du service MySQL, 5. Récupérez la base de données. Des problèmes de compatibilité sont nécessaires pendant le processus de mise à niveau, et des outils avancés tels que Perconatoolkit peuvent être utilisés pour les tests et l'optimisation.

Quelles sont les différentes stratégies de sauvegarde que vous pouvez utiliser pour MySQL?Quelles sont les différentes stratégies de sauvegarde que vous pouvez utiliser pour MySQL?Apr 30, 2025 am 12:28 AM

Les politiques de sauvegarde MySQL incluent une sauvegarde logique, une sauvegarde physique, une sauvegarde incrémentielle, une sauvegarde basée sur la réplication et une sauvegarde cloud. 1. Logical Backup utilise MySQLDump pour exporter la structure et les données de la base de données, ce qui convient aux petites bases de données et aux migrations de versions. 2. Les sauvegardes physiques sont rapides et complètes en copie les fichiers de données, mais nécessitent la cohérence de la base de données. 3. La sauvegarde incrémentielle utilise la journalisation binaire pour enregistrer les modifications, ce qui convient aux grandes bases de données. 4. La sauvegarde basée sur la réplication réduit l'impact sur le système de production en sauvegarde du serveur. 5. Les sauvegardes cloud telles que Amazonrds fournissent des solutions d'automatisation, mais les coûts et le contrôle doivent être pris en compte. Lors de la sélection d'une politique, de la taille de la base de données, de la tolérance aux temps d'arrêt, du temps de récupération et des objectifs de points de récupération doit être pris en compte.

Qu'est-ce que le regroupement MySQL?Qu'est-ce que le regroupement MySQL?Apr 30, 2025 am 12:28 AM

MysqlclusteringenhancesdatabaserobustnessandscalabilityByDistritingDataacRossMultiplenodes.itUsEsthendBenginefordataReplication andfaultToleance, assurant la manière

Comment optimiser la conception du schéma de base de données pour les performances dans MySQL?Comment optimiser la conception du schéma de base de données pour les performances dans MySQL?Apr 30, 2025 am 12:27 AM

L'optimisation de la conception du schéma de la base de données dans MySQL peut améliorer les performances par les étapes suivantes: 1. Optimisation d'index: Créer des index sur les colonnes de requête communes, équilibrant la surcharge de la requête et insertion des mises à jour. 2. Optimisation de la structure du tableau: Réduisez la redondance des données par normalisation ou anti-normalisation et améliorez l'efficacité d'accès. 3. Sélection du type de données: utilisez des types de données appropriés, tels que INT au lieu de Varchar, pour réduire l'espace de stockage. 4. Partionnement et sous-table: Pour les volumes de données importants, utilisez le partitionnement et la sous-table pour disperser les données pour améliorer l'efficacité de la requête et de la maintenance.

Comment pouvez-vous optimiser les performances MySQL?Comment pouvez-vous optimiser les performances MySQL?Apr 30, 2025 am 12:26 AM

TOOPTIMIZEMYSQLPERFORMANCE, SuivreTheSestets: 1) Implémentation de PROPERIDEXINGTOSPEEDUPQUERIES, 2) Utiliser la manière dont la gamme ajustée en ligne

See all articles

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

Video Face Swap

Video Face Swap

Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !

Afficher plus

Article chaud

Quoi de neuf dans Windows 11 KB5054979 et comment résoudre les problèmes de mise à jour
4 Il y a quelques semainesByDDD
Comment réparer KB5055523 ne parvient pas à s'installer dans Windows 11?
3 Il y a quelques semainesByDDD
Comment réparer KB5055518 ne parvient pas à s'installer dans Windows 10?
3 Il y a quelques semainesByDDD
Niveaux de force pour chaque ennemi et monstre de R.E.P.O.
3 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌
Blue Prince: Comment se rendre au sous-sol
3 Il y a quelques semainesByDDD
Afficher plus

Outils chauds

Dreamweaver Mac

Dreamweaver Mac

Outils de développement Web visuel

MinGW - GNU minimaliste pour Windows

MinGW - GNU minimaliste pour Windows

Ce projet est en cours de migration vers osdn.net/projects/mingw, vous pouvez continuer à nous suivre là-bas. MinGW : un port Windows natif de GNU Compiler Collection (GCC), des bibliothèques d'importation et des fichiers d'en-tête librement distribuables pour la création d'applications Windows natives ; inclut des extensions du runtime MSVC pour prendre en charge la fonctionnalité C99. Tous les logiciels MinGW peuvent fonctionner sur les plates-formes Windows 64 bits.

PhpStorm version Mac

PhpStorm version Mac

Le dernier (2018.2.1) outil de développement intégré PHP professionnel

SublimeText3 version anglaise

SublimeText3 version anglaise

Recommandé : version Win, prend en charge les invites de code !

Adaptateur de serveur SAP NetWeaver pour Eclipse

Adaptateur de serveur SAP NetWeaver pour Eclipse

Intégrez Eclipse au serveur d'applications SAP NetWeaver.

Afficher plus

Sujets chauds

Tutoriel Java
1652
14
Tutoriel CakePHP
1412
52
Tutoriel Laravel
1303
25
Tutoriel PHP
1250
29
Tutoriel C#
1224
24
Afficher plus