MySQL에서 백스페이스와 탭 문자를 이스케이프해야 합니까?

MySQL 주입 방지 문자 이해

악성 SQL 주입을 방지하려면 사용자 입력에서 특정 문자를 이스케이프 처리하는 것이 중요합니다. MySQL API 함수 mysql_real_escape_string()은 , n, r, , ', " 및 Z를 이스케이프합니다.

ESAPI의 확장 이스케이프 문자 목록

OWASP ESAPI 보안 라이브러리에는

b(백스페이스) 및 t(탭 입력기)를 포함하여 이스케이프할 문자의 확장된 목록이 포함되어 있어 그 필요성에 대한 의문이 제기됩니다.

잠재적인 백스페이스 취약점
 
다음 시나리오에서 b 거짓말을 포함하는 한 가지 가능한 설명은 다음과 같습니다.

공격자가 겉으로는 무해해 보이는 쿼리가 포함된 이메일을 보냅니다.
첨부된 내용은 악성 쿼리가 포함된 텍스트 파일입니다. INSERT 문을 실행하기 전에 기존 테이블을 삭제하기 위해 백스페이스를 반복합니다.
수신자는 숨겨진 백스페이스 문자를 인식하지 못한 채 무의식적으로 파일을 MySQL로 파이프합니다.
백스페이스 문자는 이전 쿼리를 덮어씁니다. 수신자 모르게 데이터를 삭제할 가능성이 있습니다.

이는 b와 같은 문자가 제기하는 잠재적인 위협을 강조합니다. 정확한 사용 사례는 다소 추측 가능하지만 문자 방지를 위한 포괄적인 접근 방식이 필요하다는 점을 강조합니다. 가장 특이한 공격 벡터로부터 보호합니다.
위 내용은 MySQL에서 백스페이스와 탭 문자를 이스케이프해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!