「mysqli_real_escape_string」は SQL インジェクションを防ぐのに十分ですか?-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

「mysqli_real_escape_string」は SQL インジェクションを防ぐのに十分ですか?

Susan Sarandon

Dec 16, 2024 pm 01:15 PM

Is `mysqli_real_escape_string` Enough to Prevent SQL Injection?

mysqli_real_escape_string は SQL インジェクションと攻撃を軽減するのに十分ですか?

mysqli_real_escape_string は広く使用されているにもかかわらず、SQL インジェクションに対する完全な防御策ではありません。以下の例に示すように:

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);

$query = "INSERT INTO `users` (`email`, `psw`) VALUES ('$email', '$psw')";

このコードは、mysqli_real_escape_string を使用して一重引用符をエスケープすることで、悪意のある入力から保護しようとします。ただし、次の攻撃で示されているように、このアプローチは SQL インジェクションに対して脆弱なままです:

myEmail = 'user@example.com' OR 0 = 1

この例では、インジェクションは、mysqli_real_escape_string が一重引用符のみをエスケープするという事実を悪用します。文字列 myEmail = 'user@example.com' OR 0 = 1 を電子メールフィールドに挿入することにより、攻撃者は認証をバイパスし、不正アクセスを取得できます。

SQL インジェクションを効果的に防止するには、プリペアドステートメントまたはパラメータ化されたステートメントの利用を検討してください。クエリ。これらのメカニズムはデータと命令を厳密に分離し、入力汚染の可能性を排除します。

プリペアドステートメントは、ユーザーが指定したパラメーターを使用して問い合わせを実行します。これらの値は、構造を変更することなくクエリに安全に挿入されます。例:

$stmt = $mysqli->prepare("INSERT INTO `users` (`email`, `psw`) VALUES (?, ?)");
$stmt->bind_param("ss", $email, $psw);

準備されたステートメントが実行できない状況では、厳密なホワイトリストを実装して、許可される入力を制限します。これにより、安全な値のみが処理されることが保証されます。

結論として、mysqli_real_escape_string は SQL インジェクションに対してある程度の保護を提供しますが、絶対確実ではありません。準備されたステートメントまたはパラメータ化されたクエリとホワイトリストは、これらの攻撃に対するより堅牢な防御メカニズムを提供します。

以上が「mysqli_real_escape_string」は SQL インジェクションを防ぐのに十分ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

新しいMySQLユーザーに権限を付与する方法May 09, 2025 am 12:16 AM

tograntpermissionstonewmysqlusers、フォローステープ：1）Accessmysqlasauserwithsufthiveerprivileges、2）createanewuser withthecreateusercommand、3）usethegrantcommandtospecifypermissionsionsionsionsionsionsionsionsionsionsionselect、挿入、挿入、挿入、更新、4）

MySQLにユーザーを追加する方法：ステップバイステップガイドMay 09, 2025 am 12:14 AM

toadduusersinmysqucrectivally andcurally、soflowthesteps：1）usethecreateuserstatementtoaddanewuser、指定するhostandastrongpassword.2）補助金を使用して、補助金を使用して、補助すること、

MySQL：複雑な権限を持つ新しいユーザーの追加May 09, 2025 am 12:09 AM

toaddanewuserwithpermissionsinmysql、followthesesteps：1）createtheuserwithcreateuser'newuser '@' localhost'identifiedifiedifiedifiedby'pa ssword ';。2）grantreadacestoalltablesin'mydatabase'withgrantselectonmydatabase.to'newuser'@'localhost';。3）grantwriteaccessto '

MySQL：文字列データ型とコレクションMay 09, 2025 am 12:08 AM

MySQLの文字列データ型には、CHAR、VARCHAR、バイナリ、Varbinary、BLOB、およびテキストが含まれます。照合は、文字列の比較とソートを決定します。 1.Charは固定長の文字列に適しており、Varcharは可変長文字列に適しています。 2.バイナリとVarbinaryはバイナリデータに使用され、BLOBとテキストは大規模なオブジェクトデータに使用されます。 3. UTF8MB4_UNICODE_CIなどのルールのソートは、高度と小文字を無視し、ユーザー名に適しています。 UTF8MB4_BINは症例に敏感であり、正確な比較が必要なフィールドに適しています。

MySQL：Varcharsにはどの長さを使用すればよいですか？May 09, 2025 am 12:06 AM

最適なMySQLVarcharの列の長さの選択は、データ分析に基づいており、将来の成長を検討し、パフォーマンスの影響を評価し、文字セットの要件を評価する必要があります。 1）データを分析して、典型的な長さを決定します。 2）将来の拡張スペースを予約します。 3）パフォーマンスに対する大きな長さの影響に注意してください。 4）ストレージに対する文字セットの影響を考慮します。これらの手順を通じて、データベースの効率とスケーラビリティを最適化できます。

mysql blob：制限はありますか？May 08, 2025 am 12:22 AM

mysqlblobshavelimits：tinyblob（255bytes）、blob（65,535bytes）、mediumblob（16,777,215bytes）、andlongblob（4,294,967,295bytes）.tousebl難易度：1）PROFFORMANCESANDSTORERGEBLOBSEXTERNALLY;

MySQL：ユーザーの作成を自動化するための最良のツールは何ですか？May 08, 2025 am 12:22 AM

MySQLでユーザーの作成を自動化するための最良のツールとテクノロジーには、次のものがあります。1。MySQLWorkBench、中小サイズの環境に適した、使いやすいがリソース消費量が高い。 2。アンシブル、マルチサーバー環境に適した、シンプルだが急な学習曲線。 3.カスタムPythonスクリプト、柔軟性がありますが、スクリプトセキュリティを確保する必要があります。 4。大規模な環境に適した人形とシェフ、複雑ですがスケーラブル。選択する際には、スケール、学習曲線、統合のニーズを考慮する必要があります。