집 >데이터 베이스 >MySQL 튜토리얼 >`mysql_real_escape_string()` 및 `mysql_escape_string()`은 MySQL 주입 공격을 방지하기에 충분합니까?
MySQL 주입 공격: 심층 분석
소개
웹 애플리케이션 보안 보장 이는 매우 중요하며 데이터베이스 보호는 이러한 노력의 핵심 부분입니다. 이 기사에서는 SQL 공격으로부터 보호하기 위해 mysql_real_escape_string() 및 mysql_escape_string()을 사용하는 효과를 조사합니다.
보안을 위해 이스케이프 기능이 충분한가요?
mysql_real_escape_string() 및 mysql_escape_string ()는 일반적으로 데이터를 삽입하기 전에 데이터를 이스케이프하는 데 사용됩니다. SQL 쿼리로. 그러나 이러한 기능은 모든 공격 벡터에 대해 충분한 보호를 제공합니까?
전문가 의견
전문가에 따르면 mysql_real_escape_string()은 SQL 주입에 대한 완전한 보호를 제공하지 않습니다. 이는 쿼리 내에서 PHP 변수를 이스케이프하기 위한 용도로만 사용되기 때문입니다. 이스케이프 테이블이나 열 이름 또는 LIMIT 필드를 처리할 수 없습니다.
알려진 공격에 대한 취약점
다음 예를 고려하세요.
$sql = "SELECT number FROM PhoneNumbers " . "WHERE " . mysql_real_escape_string($field) . " = " . mysql_real_escape_string($value);
이 쿼리 $field 또는 $value에 악의적인 입력이 포함된 경우 SQL 주입에 취약합니다. 해커는 이스케이프를 우회하고 승인되지 않은 명령을 실행하는 악성 쿼리를 만들 수 있습니다.
특정 공격 벡터
데모
다음 코드는 이러한 공격이 어떻게 악용될 수 있는지 보여줍니다.
$sql = sprintf("SELECT url FROM GrabbedURLs WHERE %s LIKE '%s%%' LIMIT %s", mysql_real_escape_string($argv[1]), mysql_real_escape_string($argv[2]), mysql_real_escape_string($argv[3]));
해결책: 준비됨 명령문
전문가들은 이스케이프 함수 대신 준비된 명령문을 사용할 것을 권장합니다. 준비된 문은 유효한 SQL만 실행되도록 보장하는 서버측 기술입니다. 이 접근 방식은 알려진 SQL 주입과 알려지지 않은 SQL 주입에 대한 포괄적인 보호 기능을 제공합니다.
PDO 사용 예
$sql = 'SELECT url FROM GrabbedURLs WHERE ' . $column . '=? LIMIT ?'; $statement = $pdo->prepare($sql); $statement->execute(array($value, $limit));
이 코드는 준비된 문을 사용하여 사용자 입력을 피하고 쿼리를 실행합니다. 안전하게.
결론
동안 mysql_real_escape_string() 및 mysql_escape_string()은 SQL 주입에 대한 일부 보호 기능을 제공하지만 완전한 보안에는 충분하지 않습니다. 준비된 문은 강력한 데이터베이스 보안을 위해 권장되는 접근 방식입니다.
위 내용은 `mysql_real_escape_string()` 및 `mysql_escape_string()`은 MySQL 주입 공격을 방지하기에 충분합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!