mysql_real_escape_string() 是否提供針對 SQL 注入攻擊的完整保護？

mysql_real_escape_string() 能否完美防止 SQL 注入攻擊？

工作時，有人擔心mysql_real_escape_string() 對抗SQL 注入的有效性具有一定的亞洲特色

繞過問題

繞過問題

根據消息來源，mysql_real_escape_string() 可能容易被使用Big5 或GBK字符編碼繞過。這些編碼允許反斜線顯示為第二個、第三個或第四個位元組，這可能會破壞轉義過程。

緩解策略

• 雖然 mysql_real_escape_string() 可能不會在所有情況下都完全可靠，有替代措施來防止SQL注入：
• 準備好的語句：準備好的語句參數化查詢，自動處理輸入清理。

mysql_set_charset： 正如Stefan Esser所提到的，這是比 SET更新且更安全的更改字元編碼的方法NAMES.

在沒有準備好的語句的情況下

• 如果準備好的語句不是選項，請考慮以下內容：
• UTF-8 編碼： Esser確保 UTF-8 對於以下內容是安全的與 mysql_real_escape_string() 一起使用。

輸入過濾： 在執行查詢之前使用正規表示式或其他技術過濾掉潛在的惡意字元。

結論雖然mysql_real_escape_string()並不完全是防篡改，它仍然是防止 SQL 注入的有價值的工具。透過實施額外的緩解策略，例如 UTF-8 編碼或輸入過濾，您可以大幅降低惡意攻擊的風險。

以上是mysql_real_escape_string() 是否提供針對 SQL 注入攻擊的完整保護？的詳細內容。更多資訊請關注PHP中文網其他相關文章！