아시아 인코딩을 사용한 SQL 주입에 대한 mysql_real_escape_string()의 보안 평가
질문:
다음과 같은 보안 취약점이 보고되었습니다. mysql_real_escape_string()은 BIG5 또는 GBK와 같은 특정 아시아 문자 인코딩을 사용하여 우회할 수 있습니다. 이 취약점이 유효한가요? 그렇다면 준비된 명령문을 사용하지 않고 어떻게 완화할 수 있습니까?
답변:
PHP 개발자인 Stefan Esser에 따르면 mysql_real_escape_string( )은 특정 인코딩 설정이 다음과 같은 경우 SQL 주입에 대해 완전히 안전하지 않습니다.
설명:
이 문제는 SET NAMES 명령을 사용하여 데이터베이스 문자 인코딩을 변경할 때 발생합니다. 이러한 인코딩 변경은 백슬래시()와 같은 특수 문자가 이스케이프되는 방식에 영향을 줍니다. Mysql_real_escape_string()은 기본 인코딩을 가정하고 이에 따라 이스케이프 논리를 조정하지 않습니다.
따라서 공격자가 백슬래시를 후속 바이트로 허용하는 인코딩을 사용하는 경우 mysql_real_escape_string()은 이러한 문자를 제대로 이스케이프하지 못할 수 있습니다. 이는 성공적인 SQL 주입 공격으로 이어질 수 있습니다.
완화:
준비된 문을 사용할 수 없을 때 이 취약점을 해결하려면:
- 사용 SET NAMES에 의존하는 대신 데이터베이스 문자 인코딩을 명시적으로 설정하는 mysql_set_charset() 함수. 이렇게 하면 mysql_real_escape_string()이 올바른 인코딩 정보로 작동하도록 보장됩니다.
- SQL 삽입에서 백슬래시가 오용되는 것을 방지하는 방식으로 백슬래시를 처리하는 UTF-8과 같은 안전한 인코딩으로 전환하세요.
위 내용은 mysql_real_escape_string()은 아시아 인코딩을 사용한 SQL 주입에 취약합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
MySQL에서 뷰를 사용하는 한계는 무엇입니까?May 14, 2025 am 12:10 AMmysqlviewshavelimitations : 1) 그들은 upportallsqloperations, datamanipulation throughviewswithjoinsorbqueries를 제한하지 않습니다
MySQL 데이터베이스 확보 : 사용자 추가 및 권한 부여May 14, 2025 am 12:09 AM적절한 usermanagementInmysqliscrucialforenhancingsecurityandensuringfefficientDatabaseOperation.1) USECREATEUSERTOWDDUSERS,@'localHost'or@'%'.
MySQL에서 사용할 수있는 트리거 수에 영향을 미치는 요인은 무엇입니까?May 14, 2025 am 12:08 AMmysqldoes notimposeahardlimitontriggers, butpracticalfactorsdeteirefectiveuse : 1) ServerConfigurationimpactStriggerManagement; 2) 복잡한 트리거 스케일 스케일 사이드로드; 3) argertableSlowtriggerTriggerPerformance; 4) High ConconcercencyCancaUspriggerContention; 5) m
MySQL : Blob을 저장하는 것이 안전합니까?May 14, 2025 am 12:07 AM예, It 'safetostoreBlobdatainmysql, butconsidertheStefactors : 1) StoragesPace : BlobScanconSumeSignificantspace, 잠재적으로 증가하는 CostsandSlownperformance
MySQL : PHP 웹 인터페이스를 통해 사용자 추가May 14, 2025 am 12:04 AMPHP 웹 인터페이스를 통해 MySQL 사용자를 추가하면 MySQLI 확장 기능을 사용할 수 있습니다. 단계는 다음과 같습니다. 1. MySQL 데이터베이스에 연결하고 MySQLI 확장자를 사용하십시오. 2. 사용자를 생성하고 CreateUser 문을 사용하고 Password () 함수를 사용하여 암호를 암호화하십시오. 3. SQL 주입 방지 및 MySQLI_REAL_ESCAPE_STRING () 함수를 사용하여 사용자 입력을 처리하십시오. 4. 새 사용자에게 권한을 할당하고 보조금 명세서를 사용하십시오.
MySQL : Blob 및 기타없는 SQL 스토리지, 차이점은 무엇입니까?May 13, 2025 am 12:14 AMmysql'sblobissuilableforstoringbinarydatawithinareldatabase, whilenosqloptionslikemongodb, redis, and cassandraofferflexible, scalablesolutionsforunstuctureddata.blobissimplerbutcanslowwownperformance를 사용하는 것들보업 betterscal randaysand
MySQL 추가 사용자 : 구문, 옵션 및 보안 모범 사례May 13, 2025 am 12:12 AMTOADDAUSERINMYSQL, 사용 : CreateUser'UserName '@'host'IdentifiedBy'Password '; 여기서'showTodoitseciRely : 1) ChoosetheHostCareLyTocon trolaccess.2) setResourcelimitswithOptionslikemax_queries_per_hour.3) Usestrong, iriquepasswords.4) enforcessl/tlsconnectionswith
MySQL : 문자열 데이터 유형을 피하는 방법 일반적인 실수?May 13, 2025 am 12:09 AMtoavoidcommonmistakeswithstringdatatypesinmysql, stroundStringTypenuances, chooseTherightType, andManageEncodingAndCollationSettingSefectively.1) usecharforfixed-lengthstrings, varcharvariable-length, andtext/blobforlargerdata.2) setcarcatter
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
SublimeText3 영어 버전
권장 사항: Win 버전, 코드 프롬프트 지원!
MinGW - Windows용 미니멀리스트 GNU
이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
