MySQL ではバックスペース文字とタブ文字をエスケープする必要がありますか?

MySQL インジェクション防止文字について

悪意のある SQL インジェクションを防止するには、ユーザー入力内の特定の文字をエスケープすることが重要です。 MySQL API 関数 mysql_real_escape_string() は、次の文字をエスケープします: 、n、r、'、"、および Z。

ESAPI の拡張エスケープ文字リスト

OWASP ESAPIセキュリティ ライブラリには、

b (バックスペース) や t (タブレータ) など、エスケープする文字の拡張リストが含まれており、その必要性について疑問が生じています。<p><strong>バックスペースの潜在的な脆弱性</strong></p> <p>b が含まれる理由の 1 つは、次のシナリオにあります。</p>

• 攻撃者が、一見無害なクエリを含む電子メールを送信します。
• 悪意のあるクエリを含むテキスト ファイルが添付されています。 INSERT ステートメントを実行する前に、既存のテーブルを削除するためにバックスペースを繰り返します。
• 受信者は、隠されたバックスペース文字に気づかずに、知らず知らずのうちにファイルを MySQL にパイプします。
• バックスペース文字は前のクエリを上書きします。受信者の知らない間にデータが削除される可能性があります。

これは、b のような文字によってもたらされる潜在的な脅威を強調していますが、正確な使用例はいくぶん推測の域を出ませんが、文字を回避するための包括的なアプローチの必要性を強調しています。最も異常な攻撃ベクトルからも保護します。

以上がMySQL ではバックスペース文字とタブ文字をエスケープする必要がありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。