首页 >后端开发 >php教程 >mysql_real_escape_string() 仍然是针对 SQL 注入的可靠保护吗?

mysql_real_escape_string() 仍然是针对 SQL 注入的可靠保护吗?

Susan Sarandon
Susan Sarandon原创
2024-11-11 16:31:03721浏览

Is mysql_real_escape_string() Still a Reliable Protection Against SQL Injection?

评估 mysql_real_escape_string() 的完整性

人们对 mysql_real_escape_string() 在保护数据库查询免受 SQL 注入攻击方面的可靠性提出了担忧。批评者参考了旧文章,指出该函数在提供足够保护的能力方面存在潜在缺陷。

MySQL 文档

mysql_real_escape_string() 的 MySQL C API 文档承认了这一问题:

If you need to change the character set of the connection, you should use the mysql_set_character_set() function rather than executing a SET NAMES (or SET CHARACTER SET) statement. mysql_set_character_set() works like SET NAMES but also affects the character set used by mysql_real_escape_string(), which SET NAMES does not.

PHP 的对应部分

在 PHP 中,mysql_set_charset() 的功能与 MySQL 的 mysql_set_character_set() 类似,并且充当 PHP 的对应部分。

Proofcode

<?php
$str = "'mystring'";

// Set encoding
mysql_set_charset('utf8');

// Escape string with correct encoding
$escaped_str = mysql_real_escape_string($str);

通过在使用 mysql_real_escape_string() 之前利用 mysql_set_charset() 修改编码,可以确保字符集设置正确并且函数按预期运行。这解决了对潜在漏洞的担忧,并允许 mysql_real_escape_string() 有效防止 SQL 注入攻击。

以上是mysql_real_escape_string() 仍然是针对 SQL 注入的可靠保护吗?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn