`mysql_real_escape_string` 是针对 SQL 注入的可靠防御吗？

mysql_real_escape_string 的缺点

虽然 mysql_real_escape_string 提供了一种过滤输入数据的形式来防止 SQL 注入攻击，但它的局限性值得关注。

连接查询：
如上所述，使用 mysql_real_escape_string 连接查询并不能完全屏蔽 SQL 注入。考虑以下示例：

mysql_query('DELETE FROM users WHERE user_id = '.mysql_real_escape_string($input));

诸如“5 OR 1=1”之类的输入可能会由于不正确的使用而绕过 mysql_real_escape_string 提供的保护措施，将数值视为字符串。

狭窄范围：
mysql_real_escape_string 专门设计用于修改要包含在 SQL 语句中带引号的字符串中的字符串值。

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

如果在此狭窄上下文之外使用，mysql_real_escape_string 可能会无意中创建语法错误或 XSS 漏洞。

字符集差异：
错误地设置数据库连接编码可能会引入漏洞。使用 mysql_query("SET NAMES 'utf8'", $link) 设置字符编码可能会导致 mysql_ API 处理字符串的方式与数据库解释字符串的方式之间出现差异。

不正确的实现：
mysql_real_escape_string 很容易出现错误的用法，例如：

• 将其应用于未用引号引起来的值
• 将其包含在 SQL 查询本身中
• 将其误解为准备语句的替代品

虽然 mysql_real_escape_string 在正确使用的情况下可以提供针对注入攻击的保护，但建议采用更强大的技术，例如准备语句，以确保全面的安全性。

以上是`mysql_real_escape_string` 是针对 SQL 注入的可靠防御吗？的详细内容。更多信息请关注PHP中文网其他相关文章！