mysqli_real_escape_string은 SQL 주입 및 공격을 완화하는 데 충분합니까?
광범위하게 사용됨에도 불구하고 mysqli_real_escape_string은 SQL 주입에 대한 뚫을 수 없는 방어 수단은 아닙니다. 제공된 예에 설명된 대로:
$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);
$query = "INSERT INTO `users` (`email`, `psw`) VALUES ('$email', '$psw')";
이 코드는 mysqli_real_escape_string을 사용하여 작은따옴표를 이스케이프 처리하여 악의적인 입력으로부터 보호하려고 시도합니다. 그러나 이 접근 방식은 다음 공격에서 알 수 있듯이 여전히 SQL 주입에 취약합니다.
myEmail = 'user@example.com' OR 0 = 1
이 경우 주입은 mysqli_real_escape_string이 작은따옴표만 이스케이프한다는 사실을 이용합니다. myEmail = 'user@example.com' OR 0 = 1 문자열을 이메일 필드에 삽입하면 공격자는 인증을 우회하고 무단 액세스 권한을 얻을 수 있습니다.
SQL 삽입을 효과적으로 방지하려면 준비된 명령문을 활용하거나 매개변수화된 명령문을 사용하는 것이 좋습니다. 쿼리. 이러한 메커니즘은 데이터와 명령을 엄격하게 분리하여 입력 오염 가능성을 제거합니다.
준비된 명령문은 사용자가 제공한 매개변수를 사용하여 쿼리를 실행합니다. 이러한 값은 구조를 변경하지 않고 쿼리에 안전하게 삽입됩니다. 예를 들면 다음과 같습니다.
$stmt = $mysqli->prepare("INSERT INTO `users` (`email`, `psw`) VALUES (?, ?)");
$stmt->bind_param("ss", $email, $psw);
준비된 진술이 가능하지 않은 상황에서는 엄격한 화이트리스트를 구현하여 허용 가능한 입력을 제한합니다. 이렇게 하면 안전한 값만 처리됩니다.
결론적으로 mysqli_real_escape_string은 SQL 삽입에 대한 일부 보호 기능을 제공하지만 완벽하지는 않습니다. 화이트리스트와 함께 준비된 명령문 또는 매개변수화된 쿼리는 이러한 공격에 대해 보다 강력한 방어 메커니즘을 제공합니다.
위 내용은 `mysqli_real_escape_string`은 SQL 주입을 방지하기에 충분합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
Alter Table 문을 사용하여 MySQL에서 테이블을 어떻게 변경합니까?Mar 19, 2025 pm 03:51 PM이 기사는 MySQL의 Alter Table 문을 사용하여 열 추가/드롭 테이블/열 변경 및 열 데이터 유형 변경을 포함하여 테이블을 수정하는 것에 대해 설명합니다.
MySQL 연결에 대한 SSL/TLS 암호화를 어떻게 구성합니까?Mar 18, 2025 pm 12:01 PM기사는 인증서 생성 및 확인을 포함하여 MySQL에 대한 SSL/TLS 암호화 구성에 대해 설명합니다. 주요 문제는 자체 서명 인증서의 보안 영향을 사용하는 것입니다. [문자 수 : 159]
MySQL에서 큰 데이터 세트를 어떻게 처리합니까?Mar 21, 2025 pm 12:15 PM기사는 MySQL에서 파티셔닝, 샤딩, 인덱싱 및 쿼리 최적화를 포함하여 대규모 데이터 세트를 처리하기위한 전략에 대해 설명합니다.
인기있는 MySQL GUI 도구는 무엇입니까 (예 : MySQL Workbench, Phpmyadmin)?Mar 21, 2025 pm 06:28 PM기사는 MySQL Workbench 및 Phpmyadmin과 같은 인기있는 MySQL GUI 도구에 대해 논의하여 초보자 및 고급 사용자를위한 기능과 적합성을 비교합니다. [159 자].
드롭 테이블 문을 사용하여 MySQL에서 테이블을 어떻게 드롭합니까?Mar 19, 2025 pm 03:52 PM이 기사에서는 Drop Table 문을 사용하여 MySQL에서 테이블을 떨어 뜨리는 것에 대해 설명하여 예방 조치와 위험을 강조합니다. 백업 없이는 행동이 돌이킬 수 없으며 복구 방법 및 잠재적 생산 환경 위험을 상세하게합니다.
JSON 열에서 인덱스를 어떻게 생성합니까?Mar 21, 2025 pm 12:13 PM이 기사에서는 PostgreSQL, MySQL 및 MongoDB와 같은 다양한 데이터베이스에서 JSON 열에서 인덱스를 작성하여 쿼리 성능을 향상시킵니다. 특정 JSON 경로를 인덱싱하는 구문 및 이점을 설명하고 지원되는 데이터베이스 시스템을 나열합니다.
외국 키를 사용하여 관계를 어떻게 표현합니까?Mar 19, 2025 pm 03:48 PM기사는 외국 열쇠를 사용하여 데이터베이스의 관계를 나타내고 모범 사례, 데이터 무결성 및 피할 수있는 일반적인 함정에 중점을 둡니다.
일반적인 취약점 (SQL 주입, 무차별 적 공격)에 대해 MySQL을 어떻게 보호합니까?Mar 18, 2025 pm 12:00 PM기사는 준비된 명령문, 입력 검증 및 강력한 암호 정책을 사용하여 SQL 주입 및 무차별 적 공격에 대한 MySQL 보안에 대해 논의합니다 (159 자)
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
드림위버 CS6
시각적 웹 개발 도구
Dreamweaver Mac版
시각적 웹 개발 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
MinGW - Windows용 미니멀리스트 GNU
이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.
