首頁 >後端開發 >php教程 >求mysql_real_escape_string()防注入詳解

求mysql_real_escape_string()防注入詳解

WBOY
WBOY原創
2016-08-04 09:20:561436瀏覽

mysql_real_escape_string()被視為替代addslashes()和mysql_escape_string()的好方法,可以解決寬字節和注入問題,不過官方對其的描述卻說的不清不楚:

求mysql_real_escape_string()防注入詳解

mysql_real_escape_string — 轉義 SQL 語句中使用的字串中的特殊字符,並考慮連接的當前字符集

這句真沒懂,考慮到連接的當前字符集啥意思,請高手詳細講講,謝謝!

參考:
http://php.net/manual/zh/function.mysql-real-escape-string.php
http://www.cnblogs.com/suihui/archive/2012/09/20/2694751. html
http://www.neatstudio.com/show-963-1.shtml

補充問題: @演演演演
1.加的並不會傳入mysql中,那麼如果注入了' or 1=1;-- s ,這裡的注入內容最終還不是傳到mysql去了執行了嗎?
參照:https://segmentfault.com/q/1010000005994443

2.並考慮到連接的當前字符集啥意思呢?改變當前連接的字符集?

回覆內容:

mysql_real_escape_string()被視為替代addslashes()和mysql_escape_string()的好方法,可以解決寬字節和注入問題,不過官方對其的描述卻說的不清不楚:

求mysql_real_escape_string()防注入詳解

mysql_real_escape_string — 轉義 SQL 語句中使用的字串中的特殊字符,並考慮連接的當前字符集

這句真沒懂,考慮到連接的當前字符集啥意思,請高手詳細講講,謝謝!

參考:
http://php.net/manual/zh/function.mysql-real-escape-string.php
http://www.cnblogs.com/suihui/archive/2012/09/20/2694751. html
http://www.neatstudio.com/show-963-1.shtml

補充問題: @演演演演
1.加的並不會傳入mysql中,那麼如果注入了' or 1=1;-- s ,這裡的注入內容最終還不是傳到mysql去了執行了嗎?
參照:https://segmentfault.com/q/1010000005994443

2.並考慮到連接的當前字符集啥意思呢?改變當前連接的字符集?

這個說的就是mysql gbk雙位元組注入

例如使用者登入 假設你的sql語句:
$sql = "select * from user where user_name='$username' and password='$password'";

1 如果存在註入點 且也沒有轉義。傳遞參數username=' or 1=1;-- s 那麼此時的sql語句就是

$sql = "select * from user where user_name='' or 1=1;-- s ' and password='$password'";

因為--是註解符 所以後面不用判斷成功繞過

2 如果存在註入點 並且使用了特殊字元轉義。那麼此時的sql語句就是

$sql = "select * from user where user_name='' or 1=1;-- s ' and password='$password'";

無法繞過

3 這時候問題來了,牛逼的駭客發現了gbk編碼時存在寬位元組注入。這時候傳遞username=%df%27 或 1=1;--

這個時候執行的sql語句變成了:

$sql = "select * from user where user_name='運' or 1=1;-- s ' and password='$password'"; 成功繞過

如何解決這個問題

mysql_real_escape_string — 轉義 SQL 語句中使用的字串中的特殊字符,並考慮到連接的當前字符集

mysql_real_escape_string方法對SQL語句的轉義機制,隨著目前資料庫連接的字元集的改變而改變。相同的SQL語句,不同的字元集下,轉義後的結果不一定相同。

重要:

mysql_real_escape_string方法屬於mysql擴展,自PHP版本5.5.0之後已被標記為過時,並在版本5.5.0之後已被標記為過時,並在之後被移除版本。請使用mysqliPDO擴充進行資料庫操作。資料庫字符集請盡量使用utf8

utf8mb4🎜(更好)。 🎜
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn