`mysql_real_escape_string()` 和 `mysql_escape_string()` 足以防止 MySQL 注入攻擊嗎？

MySQL 注入攻擊：深入探究

簡介

確保Web Web 應用程式的安全至關重要，而資料庫保護是這項工作的重要組成部分。本文研究了使用 mysql_real_escape_string() 和 mysql_escape_string() 在防範 SQL 攻擊方面的有效性。

轉義函數足以確保安全嗎？

mysql_real_escape_string() 和 mysql_escape_string () 通常用於在插入資料之前轉義資料進入 SQL 查詢。然而，這些函數是否足以抵禦所有攻擊向量？

專家意見

根據專家的說法，mysql_real_escape_string() 並不能提供針對 SQL 注入的完整保護。這是因為它只是為了轉義查詢中的 PHP 變數。它無法處理轉義表或列名稱或 LIMIT 欄位。

已知攻擊的漏洞

考慮以下範例：

$sql = "SELECT number FROM PhoneNumbers " .
       "WHERE " . mysql_real_escape_string($field) . " = " . mysql_real_escape_string($value);

此查詢如果$field 或$value 包含惡意輸入，則容易受到SQL 注入。駭客可以製作繞過轉義並執行未經授權的命令的惡意查詢。

特定攻擊向量

• LIKE 攻擊： mysql_real_escape_string( ) 對於 LIKE 攻擊無效，例如 LIKE "$data%"。這可能會暴露表中的所有記錄，從而可能洩露敏感資訊。
• 字元集漏洞：這些漏洞利用 Internet Explorer 和 PHP 的字元集處理中的漏洞。它們可以允許駭客執行任意 SQL 查詢。

示範

以下程式碼示範如何利用這些攻擊：

$sql = sprintf("SELECT url FROM GrabbedURLs WHERE %s LIKE '%s%%' LIMIT %s",
               mysql_real_escape_string($argv[1]),
               mysql_real_escape_string($argv[2]),
               mysql_real_escape_string($argv[3]));

• 輸入1: 返回以以下內容開頭的URL "http://www.reddit.com"
• 輸入2： 回傳每個結果（漏洞利用）
• 輸入3： 意外執行SQL查詢

解決方案：已準備好語句

專家建議使用準備好的語句而不是轉義函數。預準備語句是伺服器端技術，可確保僅執行有效的 SQL。這種方法提供了對已知和未知 SQL 注入的全面保護。

使用PDO 的範例

$sql = 'SELECT url FROM GrabbedURLs WHERE ' . $column . '=? LIMIT ?';
$statement = $pdo->prepare($sql);
$statement->execute(array($value, $limit));

此程式碼使用準備好的語句來轉義使用者輸入並執行查詢

結論

雖然mysql_real_escape_string() 和mysql_escape_string() 提供了一些針對 SQL 注入的保護，但它們不足以實現完全的安全性。準備好的語句是增強資料庫安全性的建議方法。

以上是`mysql_real_escape_string()` 和 `mysql_escape_string()` 足以防止 MySQL 注入攻擊嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！