為什麼 mysql_real_escape_string 不足以防止 SQL 注入？

mysql_real_escape_string 的缺點：不正確的使用和有限的範圍

mysql_real_escape_string 函數因注入不完整的批評。雖然它有效地轉義了用於 SQL 語句引號內的字串，但正確的應用至關重要。

一個關鍵缺點是對數值的處理不正確。如果 mysql_real_escape_string 應用於數字值，它將保留其數字性質並且仍然容易受到注入攻擊。例如：

mysql_query('DELETE FROM users WHERE user_id = '.mysql_real_escape_string($input));

輸入“5 OR 1=1”，注入攻擊會成功，因為mysql_real_escape_string不會將輸入轉換為字串。

另一個缺點是範圍有限mysql_real_escape_string。它僅用於轉義 SQL 語句引號內的字串。如果應用於其他上下文，例如變數賦值或串聯，可能會無意中引入漏洞。

不正確的資料庫連接編碼也會帶來風險。使用 mysql_query("SET NAMES 'utf8'") 指令設定編碼會繞過 mysql_ API，可能導致客戶端和資料庫之間的字串解釋不符。這可以促進涉及多位元組字串的 SQL 注入攻擊。

要注意的是，正確使用時 mysql_real_escape_string 不存在根本的注入漏洞。然而，它的範圍狹窄且容易受到錯誤應用的影響，使其成為現代軟體開發的較不可靠的選擇。準備好的語句或參數綁定機制與安全語言介面結合，可以提供更強大的保護，防止 SQL 注入攻擊。

以上是為什麼 mysql_real_escape_string 不足以防止 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！