`mysql_real_escape_string()` 和 `mysql_escape_string()` 是否足以保护我的应用程序免遭 SQL 注入？

MySql_real_escape_string() 和 mysql_escape_string() 足以保证应用程序安全吗？评估潜在漏洞

尽管 mysql_real_escape_string() 和 mysql_escape_string() 很常见，但它们可能无法完全保护数据库免受 SQL 攻击，从而使其容易受到各种恶意利用。

SQL注入攻击

与普遍看法相反，mysql_real_escape_string() 无法在所有情况下阻止 SQL 注入。它有效地转义了变量数据，但无法保护表名、列名或 LIMIT 字段免受恶意操作。攻击者可以利用此限制来制作如下查询：

$sql = "SELECT number FROM PhoneNumbers WHERE " . mysql_real_escape_string($field) . " = " . mysql_real_escape_string($value);

熟练的黑客仍然可以通过操纵字段或值变量来绕过这些转义函数来制作恶意查询。

LIKE SQL 攻击

LIKE SQL 攻击也可以绕过mysql_real_escape_string() 保护。涉及 LIKE "$data%" 语句的查询，攻击者可以提供空字符串作为输入来匹配所有记录，从而可能暴露信用卡号等敏感信息。

字符集漏洞

字符集漏洞仍然是一个威胁，尤其是在 Internet Explorer 中。通过利用数据库和 Web 浏览器之间的字符集差异，攻击者可以执行恶意查询，从而获得对 SQL 服务器的完全控制。

LIMIT 漏洞

LIMIT 漏洞允许攻击者操纵 SQL 查询的 LIMIT 子句，使用它来连接多个查询并执行未经授权的操作

准备好的语句作为强大的防御

为了对抗这些漏洞并确保有效的应用程序安全，准备好的语句成为首选的防御机制。准备好的语句使用服务器端验证仅执行授权的 SQL 语句，从而主动防御已知和未知的攻击。

使用准备好的语句的代码示例

$pdo = new PDO($dsn);

$column = 'url';
$value = 'http://www.stackoverflow.com/';
$limit = 1;

$validColumns = array('url', 'last_fetched');

// Validate the $column parameter
if (!in_array($column, $validColumns)) { $column = 'id'; }


$statement = $pdo->prepare('SELECT url FROM GrabbedURLs ' .
                            'WHERE ' . $column . '=? ' .
                            'LIMIT ' . intval($limit));
$statement->execute(array($value));
while (($data = $statement->fetch())) { }

结论

虽然 mysql_real_escape_string() 和mysql_escape_string() 提供了一些针对 SQL 攻击的保护，但它们并不是万无一失的。实施准备好的语句是一种更全面、更强大的解决方案，可以保护应用程序免受各种漏洞的影响，从而确保更好的应用程序安全性。

以上是`mysql_real_escape_string()` 和 `mysql_escape_string()` 是否足以保护我的应用程序免遭 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！