首页 >后端开发 >php教程 >`mysql_real_escape_string()` 真的安全吗:亚洲字符编码可以绕过它的保护吗?

`mysql_real_escape_string()` 真的安全吗:亚洲字符编码可以绕过它的保护吗?

Susan Sarandon
Susan Sarandon原创
2024-10-26 18:17:02937浏览

Is `mysql_real_escape_string()` Truly Safe: Can Asian Character Encodings Bypass its Protection?

mysql_real_escape_string() 是否能够完全防范 SQL 注入?

最近流传的一项声明称,某些亚洲字符编码可以绕过 mysql_real_escape_string() ,特别是 Big5 和 GBK。这个断言是否有效?如果有效,如何在不诉诸准备好的语句的情况下保护您的网站?

漏洞

根据 Stefan Esser,mysql_real_escape_string()使用 SET NAMES 命令时确实存在漏洞。该命令改变字符编码,使 mysql_real_escape_string() 忽略某些使用反斜杠作为附加字节的多字节编码。这种不正确的转义可能会危及您网站的安全。

安全措施

虽然 UTF-8 编码不易受到此漏洞的影响,但必须使用 mysql_set_charset 来安全地更改编码。但是,此功能仅在较新的 PHP 版本中可用。如果您无法使用准备好的语句或 mysql_set_charset,您可能需要探索替代方法来保护您的网站免受 SQL 注入攻击。

以上是`mysql_real_escape_string()` 真的安全吗:亚洲字符编码可以绕过它的保护吗?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn