보안 SQL 쿼리를 위해 MySQL 와일드카드를 이스케이프하는 방법은 무엇입니까?

MySQL 와일드 카드 이스케이프: 종합 가이드

MySQL 환경에서 신뢰할 수 없는 사용자 입력을 처리할 때 특수 문자를 이스케이프하는 것이 중요합니다. SQL 주입 공격을 방지합니다. PHP 함수 mysql_real_escape_string은 일반적으로 이러한 목적으로 사용됩니다. 그러나 MySQL 와일드카드 "%" 및 "_"는 이스케이프되지 않습니다.

이 문제를 해결하기 위해 일부 사용자는 addcslashes를 사용하여 이러한 와일드카드를 수동으로 이스케이프 처리합니다. 그러나 이 접근 방식은 제공된 예에서 볼 수 있듯이 예상치 못한 결과를 초래할 수 있습니다.

Input: test_test " '
Database: test\_test " '

여기서 밑줄("_")은 작은따옴표("'")와 달리 선행 백슬래시로 이스케이프됩니다. ) 및 큰따옴표("""). 이러한 모든 문자는 백슬래시 문자를 사용하여 이스케이프 처리되므로 이 동작은 혼란스러울 수 있습니다.

이 현상을 이해하려면 MySQL의 와일드카드 이스케이프 메커니즘을 더 자세히 살펴봐야 합니다. "_" 및 "% "는 일반적인 MySQL 사용에서 와일드카드로 처리되지 않으며 일반 문자열 리터럴을 구성할 때 이스케이프해서는 안 됩니다. mysql_real_escape_string은 이 상황을 올바르게 처리합니다.

그러나 "%_"는 LIKE 일치 컨텍스트에서만 특수 문자가 됩니다. . LIKE 문에서 리터럴로 사용할 문자열을 준비하려면 매개변수화된 쿼리를 사용하는 경우에도 LIKE 이스케이프를 수행해야 합니다.

LIKE 이스케이프에는 두 가지 수준이 포함됩니다.

1. LIKE 이스케이프: _ 및 %는 특수하며 이스케이프 문자()도 이스케이프해야 합니다.
2. 문자열 리터럴 이스케이프: LIKE 이스케이프 후 mysql_real_escape_string( MySQL의 경우) 또는 다른 데이터베이스에 적합한 함수입니다.

이중 백슬래시 이스케이프 가능성은 문제가 될 수 있으며, 특히 예제에서 설명한 것처럼 PHP의 문자열 리터럴을 사용하는 경우 더욱 그렇습니다.

이러한 복잡성을 피하고 이식성을 보장하려면 기본(잘못된) LIKE 이스케이프 동작을 재정의하고 LIKE ... ESCAPE ... 구문을 사용하여 사용자 정의 이스케이프 문자를 지정하는 것을 고려하세요.

// function that performs LIKE escaping
function like($s, $e) {
    return str_replace(array($e, '_', '%'), array($e.$e, $e.'_', $e.'%'), $s);
}

그런 다음 , 다음과 같이 사용하세요.

$escapedname = mysql_real_escape_string(like($name, '='));
$query = "... WHERE name LIKE '%$escapedname%' ESCAPE '=' AND ...";

이러한 권장 사항을 따르면 MySQL 와일드 카드를 효과적으로 방지하고 데이터베이스 애플리케이션의 보안을 강화할 수 있습니다.

위 내용은 보안 SQL 쿼리를 위해 MySQL 와일드카드를 이스케이프하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!