`mysqli_real_escape_string()` 足以防止 SQL 注入攻擊嗎？-mysql教程-PHP中文網

首頁

資料庫

mysql教程

`mysqli_real_escape_string()` 足以防止 SQL 注入攻擊嗎？

Susan Sarandon

Dec 14, 2024 am 07:41 AM

Is `mysqli_real_escape_string()` Enough to Prevent SQL Injection Attacks?

MySQLi 的「mysqli_real_escape_string」足以抵禦 SQL 攻擊嗎？

您的程式碼嘗試使用「mysqli_real_escape_string()」來防止 SQL 注入。然而，正如 uri2x 所顯示的，這種措施是不夠的。

SQL 注入漏洞

「mysqli_real_escape_string()」僅轉義某些字符，使您的查詢容易受到 SQL 攻擊注入攻擊。例如，以下程式碼仍然可能容易受到攻擊：

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$query = "SELECT * FROM users WHERE email = '" . $email . "'";

攻擊者可以輸入類似「email'@example.com」的電子郵件地址來利用查詢，在轉義輸入後添加其他 SQL 語句。

使用準備好的語句

而不是“mysqli_real_escape_string()”，防止SQL注入最有效的方法是使用準備好的語句。預準備語句將資料與查詢字串分開，防止資料污染。

$stmt = $db_con->prepare("INSERT INTO users (email, psw) VALUES (?, ?)");
$stmt->bind_param('ss', $email, $psw);
$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);
$stmt->execute();

嚴格字元白名單

在預備語句不可行的情況下，實施嚴格字元白名單可以保證安全。這涉及到過濾輸入以確保它只包含允許的字元。

結論

僅「mysqli_real_escape_string()」不足以防止 SQL 注入。準備好的聲明和嚴格的白名單提供了針對這些攻擊的更強大的保護措施。

以上是`mysqli_real_escape_string()` 足以防止 SQL 注入攻擊嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

mysql blob：有什麼限制嗎？May 08, 2025 am 12:22 AM

mysqlblobshavelimits：tinyblob（255bytes），blob（65,535 bytes），中間佈洛布（16,777,215個比例），andlongblob（4,294,967,967,295 bytes）.tousebl觀察：1）考慮pperformance impactsandSandStorLageBlobSextern; 2）管理backbackupsandreplication carecration; 3）usepathsinst

MySQL：自動化用戶創建的最佳工具是什麼？May 08, 2025 am 12:22 AM

自動化在MySQL中創建用戶的最佳工具和技術包括：1.MySQLWorkbench，適用於小型到中型環境，易於使用但資源消耗大；2.Ansible，適用於多服務器環境，簡單但學習曲線陡峭；3.自定義Python腳本，靈活但需確保腳本安全性；4.Puppet和Chef，適用於大規模環境，複雜但可擴展。選擇時需考慮規模、學習曲線和集成需求。

mysql：我可以在斑點內搜索嗎？May 08, 2025 am 12:20 AM

是的，YouCansearchInIdeAblobInMysqlusingsPecificteChniques.1）轉換theblobtoautf-8StringWithConvertFunctionWithConvertFunctionandSearchUsiseLike.2）forCompresseBlysBlobs，useuncompresseblobs，useuncompressbeforeconversion.3）expperformance impperformance imptactSandDataEcoding.4）

MySQL字符串數據類型：綜合指南May 08, 2025 am 12:14 AM

mysqloffersvariousStringDatatYpes：1）charforfixed Lengtth Strings，IdealforConsistLengthDatalikeCountryCodes; 2）varcharforvariable長度長，合適的forfieldslikenames; 3）texttypefesforepesforlargertext，forforlargertext，goodforforblogblogpostsbutcan impactcuctcuctcuctpercrance; 4）biland;

掌握mysql blobs：逐步教程May 08, 2025 am 12:01 AM

tomasterMysqlblobs，關注台詞：1）ChooseTheApprProbType（tinyBlob，blob，blob，Mediumblob，longblob）基於dongatasize.2）InsertDatausingload_fileforefice.3）

MySQL中的BLOB數據類型：開發人員的詳細概述May 07, 2025 pm 05:41 PM

blobdatatypesinmysqlareusedforvorvoringlargebinarydatalikeimagesoraudio.1）useblobtypes（tinyblobtolonglongblob）基於dondatasizeneeds。 2）庫孔素pet petooptimize績效。 3）考慮Xternal Storage Forel Blob romana databasesizerIndimprovebackupe

如何將用戶從命令行添加到MySQLMay 07, 2025 pm 05:01 PM

toadDuserStomySqlfromtheCommandline，loginasroot，thenusecreateuser'username'@'host'host'Indessifiedby'password'; tocreateanewuser.grantpermissionswithgrantprantallprivilegesondatabase

MySQL中有哪些不同的字符串數據類型？詳細的概述May 07, 2025 pm 03:33 PM

mySqlofferSeightStringDatateTypes：char，varchar，二進制，二進制，varbinary，blob，文本，枚舉，枚舉和set.1）長度，理想的forconsistentDatatalIkeCountryCodes.2）varcharisvariable長度，長度，效率foriforitifforiticforiticforiticforiticforiticforitic forvaryingdatalikename.3）

See all articles