Patutkah Aksara Backspace dan Tab Dilepaskan dalam MySQL?

Memahami Aksara Pencegahan Suntikan MySQL

Untuk mengelakkan suntikan SQL yang berniat jahat, adalah penting untuk melepaskan aksara tertentu dalam input pengguna. Fungsi MySQL API mysql_real_escape_string() terlepas daripada perkara berikut: , n, r, , ', ", dan Z.

Senarai Aksara Escape Diperluas ESAPI

ESAPI OWASP perpustakaan keselamatan termasuk senarai aksara yang diperluas untuk melarikan diri, termasuk

b (ruang belakang) dan t (tabulator), menimbulkan persoalan tentang keperluannya.

Potensi Kerentanan Ruang Belakang
 
Satu penjelasan yang mungkin untuk memasukkan b terletak pada senario berikut:

Penyerang menghantar e-mel dengan pertanyaan yang kelihatan tidak berbahaya.
Dilampirkan ialah fail teks yang mengandungi pertanyaan berniat jahat didahului oleh ruang belakang berulang untuk memadamkan jadual sedia ada sebelum melaksanakan pernyataan INSERT.
Penerima tanpa disedari menyalurkan fail ke MySQL, tidak mengetahui aksara ruang belakang yang tersembunyi.
Aksara ruang belakang menimpa pertanyaan sebelumnya, berkemungkinan memadamkan data tanpa pengetahuan penerima.

Ini menyerlahkan potensi ancaman yang ditimbulkan oleh aksara seperti b. Walaupun kes penggunaan yang tepat agak spekulatif, ia menekankan keperluan untuk pendekatan yang komprehensif untuk melarikan diri dari pencegahan watak kepada. melindungi daripada vektor serangan yang paling luar biasa.
Atas ialah kandungan terperinci Patutkah Aksara Backspace dan Tab Dilepaskan dalam MySQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!