Adakah `mysqli_real_escape_string` Cukup untuk Mencegah Suntikan SQL?-tutorial mysql-php.cn

Rumah

pangkalan data

tutorial mysql

Adakah `mysqli_real_escape_string` Cukup untuk Mencegah Suntikan SQL?

Susan Sarandon

Dec 16, 2024 pm 01:15 PM

Is `mysqli_real_escape_string` Enough to Prevent SQL Injection?

Adakah mysqli_real_escape_string Mencukupi untuk Mengurangkan Suntikan dan Serangan SQL?

Walaupun penggunaannya meluas, mysqli_real_escape_string bukanlah pertahanan yang tidak dapat ditembusi oleh SQL injection. Seperti yang digambarkan dalam contoh yang disediakan:

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);

$query = "INSERT INTO `users` (`email`, `psw`) VALUES ('$email', '$psw')";

Kod ini cuba melindungi daripada input berniat jahat dengan melepaskan petikan tunggal menggunakan mysqli_real_escape_string. Walau bagaimanapun, pendekatan ini kekal terdedah kepada suntikan SQL, seperti yang ditunjukkan oleh serangan ini:

myEmail = 'user@example.com' OR 0 = 1

Dalam keadaan ini, suntikan mengeksploitasi fakta bahawa mysqli_real_escape_string hanya melepaskan petikan tunggal. Dengan menyuntik rentetan myEmail = 'user@example.com' ATAU 0 = 1 ke dalam medan e-mel, penyerang boleh memintas pengesahan dan mendapat akses tanpa kebenaran.

Untuk mencegah suntikan SQL dengan berkesan, pertimbangkan untuk menggunakan pernyataan yang disediakan atau berparameter pertanyaan. Mekanisme ini memisahkan data daripada arahan dengan teliti, menghapuskan kemungkinan pencemaran input.

Pernyataan yang disediakan melaksanakan pertanyaan dengan parameter yang dibekalkan pengguna. Nilai ini dimasukkan dengan selamat ke dalam pertanyaan tanpa mengubah strukturnya. Contohnya:

$stmt = $mysqli->prepare("INSERT INTO `users` (`email`, `psw`) VALUES (?, ?)");
$stmt->bind_param("ss", $email, $psw);

Dalam situasi di mana kenyataan yang disediakan tidak boleh dilaksanakan, laksanakan senarai putih yang ketat untuk menyekat input yang dibenarkan. Ini memastikan bahawa hanya nilai selamat diproses.

Kesimpulannya, walaupun mysqli_real_escape_string menyediakan sedikit perlindungan terhadap suntikan SQL, ia tidak mudah. Kenyataan yang disediakan atau pertanyaan berparameter bersama-sama dengan penyenaraian putih menawarkan mekanisme pertahanan yang lebih teguh terhadap serangan ini.

Atas ialah kandungan terperinci Adakah `mysqli_real_escape_string` Cukup untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Cara Memberi Kebenaran kepada Pengguna MySQL BaruMay 09, 2025 am 12:16 AM

TograntpermissionstonewMySQLusers,followthesesteps:1)AccessMySQLasauserwithsufficientprivileges,2)CreateanewuserwiththeCREATEUSERcommand,3)UsetheGRANTcommandtospecifypermissionslikeSELECT,INSERT,UPDATE,orALLPRIVILEGESonspecificdatabasesortables,and4)

Cara Menambah Pengguna di MySQL: Panduan Langkah demi LangkahMay 09, 2025 am 12:14 AM

Toaddusersinmysqleffectivelyandsecurely, ikutiTheSesteps: 1) usethecreateUserStatementToadDanewuser, spesifyingthehostandastrongpassword.2) GrantnessaryPrivileGeSingSupingTheGrantement, ADHERINGTOTHEPRINCIPREFLEFLEASE.3)

MySQL: Menambah pengguna baru dengan kebenaran yang kompleksMay 09, 2025 am 12:09 AM

TOADDANEWUSERWITHCEPLEXPELPISIONSIONSIONMYSQL, FOLLONGHESESTEPS: 1) COTETETHEUSERWITHCEATEUSER'NEWUSER '@' LOCSOUSTHOST'IDENTIFIFYBY'PA ssword ';. 2) grantrearaccesstoalltablesin'mydatabase'withgrantselectonmydatabase.to'newuser'@'localhost' ;. 3) GrantWriteAccessto '

MySQL: Jenis dan Collations String DataMay 09, 2025 am 12:08 AM

Jenis data rentetan di MySQL termasuk char, varchar, binari, varbinary, gumpalan, dan teks. Kolaborasi menentukan perbandingan dan menyusun rentetan. 1.BARI sesuai untuk rentetan panjang tetap, Varchar sesuai untuk rentetan panjang berubah-ubah. 2.Binary dan Varbinary digunakan untuk data binari, dan gumpalan dan teks digunakan untuk data objek besar. 3. Peraturan menyusun seperti UTF8MB4_UNICODE_CI mengabaikan kes atas dan bawah dan sesuai untuk nama pengguna; UTF8MB4_BIN adalah sensitif kes dan sesuai untuk bidang yang memerlukan perbandingan yang tepat.

MySQL: Berapa panjang yang harus saya gunakan untuk varchars?May 09, 2025 am 12:06 AM

Pemilihan panjang lajur MySqlvarchar terbaik harus berdasarkan analisis data, pertimbangkan pertumbuhan masa depan, menilai kesan prestasi, dan keperluan set aksara. 1) menganalisis data untuk menentukan panjang biasa; 2) Rizab ruang pengembangan masa depan; 3) memberi perhatian kepada kesan panjang besar pada prestasi; 4) Pertimbangkan kesan set aksara pada penyimpanan. Melalui langkah -langkah ini, kecekapan dan skalabiliti pangkalan data dapat dioptimumkan.

Blob MySQL: Adakah terdapat had?May 08, 2025 am 12:22 AM

MySqlblobShavelimits: TinyBlob (255bytes), Blob (65,535bytes), MediumBlob (16,777,215bytes), andlongblob (4,294,967,295bytes) Obsefectively: 1) PertimbangkanPerformanceImpactsandstorelargeblobsexternally; 2) ManageBackupSandReplicationCarefly; 3) UsePathsinst

MySQL: Apakah alat terbaik untuk mengautomasikan penciptaan pengguna?May 08, 2025 am 12:22 AM

Alat dan teknologi terbaik untuk mengautomasikan penciptaan pengguna di MySQL termasuk: 1. MySqlworkbench, sesuai untuk persekitaran kecil dan sederhana, mudah digunakan tetapi penggunaan sumber yang tinggi; 2. Ansible, sesuai untuk persekitaran pelbagai pelayan, lengkung pembelajaran yang mudah tetapi curam; 3. Skrip python adat, fleksibel tetapi perlu memastikan keselamatan skrip; 4 Boneka dan chef, sesuai untuk persekitaran berskala besar, kompleks tetapi berskala. Skala, keluk pembelajaran dan keperluan integrasi harus dipertimbangkan ketika memilih.

MySQL: Bolehkah saya mencari di dalam gumpalan?May 08, 2025 am 12:20 AM

Ya, yoursearchinsideablobinmysqlusingspecifictechniques.1) converttheblobtoautf-8stringwithconvertfunctionandsearchusing.2) forcompressedblobs, usedcompressbeforeconversion.3) overperformanceimpacsanddata

See all articles

Alat AI Hot

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Tunjukkan Lagi

Artikel Panas

Bagaimana untuk memperbaiki KB5055523 gagal dipasang di Windows 11?

4 minggu yang laluByDDD

Bagaimana untuk memperbaiki KB5055518 gagal dipasang di Windows 10?

4 minggu yang laluByDDD

<🎜>: Tumbuh Taman - Panduan Mutasi Lengkap

3 minggu yang laluByDDD

<🎜>: Bubble Gum Simulator Infinity - Cara Mendapatkan dan Menggunakan Kekunci Diraja

3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌

Bagaimana untuk memperbaiki KB5055612 gagal dipasang di Windows 10?

3 minggu yang laluByDDD

Tunjukkan Lagi

Alat panas

SublimeText3 versi Mac

Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

SublimeText3 Linux versi baharu

SublimeText3 Linux versi terkini

ZendStudio 13.5.1 Mac

Persekitaran pembangunan bersepadu PHP yang berkuasa

SublimeText3 versi Inggeris

Disyorkan: Versi Win, menyokong gesaan kod!

Pelayar Peperiksaan Selamat

Pelayar Peperiksaan Selamat ialah persekitaran pelayar selamat untuk mengambil peperiksaan dalam talian dengan selamat. Perisian ini menukar mana-mana komputer menjadi stesen kerja yang selamat. Ia mengawal akses kepada mana-mana utiliti dan menghalang pelajar daripada menggunakan sumber yang tidak dibenarkan.

Tunjukkan Lagi

Topik panas

1664

1421

1315

1266

1239