Rumah >pangkalan data >tutorial mysql >Adakah `mysqli_real_escape_string` Mencukupi untuk Mencegah Suntikan SQL?
Soalan:
Dalam PHP yang disediakan kod, adakah penggunaan mysqli_real_escape_string mencukupi untuk menghalang SQL serangan suntikan?
$email= mysqli_real_escape_string($db_con,$_POST['email']); $psw= mysqli_real_escape_string($db_con,$_POST['psw']); $query = "INSERT INTO `users` (`email`,`psw`) VALUES ('".$email."','".$psw."')";
Jawapan:
Tidak, bergantung semata-mata pada mysqli_real_escape_string tidak mencukupi untuk menghalang suntikan SQL dan serangan SQL yang lain.
Kenyataan yang disediakan menyediakan penyelesaian yang lebih mantap untuk mencegah suntikan SQL. Mereka mengasingkan data dan arahan, memastikan input yang diberikan pengguna tidak mengganggu struktur pertanyaan.
Untuk situasi di mana pernyataan yang disediakan tidak boleh digunakan, melaksanakan senarai putih yang ketat untuk tujuan tertentu boleh menawarkan sedikit perlindungan. Ini melibatkan penentuan senarai nilai yang boleh diterima yang telah ditetapkan untuk setiap parameter untuk mengelakkan input berniat jahat.
Contoh menggunakan senarai putih dan taip penghantaran:
switch ($sortby) { case 'column_b': case 'col_c': // Safe to use break; default: $sortby = 'rowid'; } $start = (int) $start; $howmany = (int) $howmany; if ($start < 0) { $start = 0; } if ($howmany < 1) { $howmany = 1; } // Execute the query using prepared statements $stmt = $db->prepare( "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}" ); $stmt->execute(['value']); $data = $stmt->fetchAll(PDO::FETCH_ASSOC);
Adalah penting untuk memastikan bahawa pernyataan yang disediakan digunakan dengan persediaan yang dicontohi dimatikan, terutamanya apabila menggunakan MySQL.
$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);
Atas ialah kandungan terperinci Adakah `mysqli_real_escape_string` Mencukupi untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!