`mysqli_real_escape_string` 足以防止 SQL 注入吗？

mysqli_real_escape_string 足以缓解 SQL 注入和攻击吗？

尽管 mysqli_real_escape_string 被广泛使用，但它并不是对 SQL 注入的坚不可摧的防御。如提供的示例所示：

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);

$query = "INSERT INTO `users` (`email`, `psw`) VALUES ('$email', '$psw')";

此代码尝试通过使用 mysqli_real_escape_string 转义单引号来防止恶意输入。然而，这种方法仍然容易受到 SQL 注入的攻击，正如以下攻击所示：

myEmail = 'user@example.com' OR 0 = 1

在这种情况下，注入利用了 mysqli_real_escape_string 仅转义单引号这一事实。通过在 email 字段中注入字符串 myEmail = 'user@example.com' OR 0 = 1，攻击者可以绕过身份验证并获得未经授权的访问。

要有效防止 SQL 注入，请考虑使用准备好的语句或参数化语句查询。这些机制严格地将数据与指令分开，消除了输入污染的可能性。

准备好的语句使用用户提供的参数执行查询。这些值会安全地插入到查询中，而不会改变其结构。例如：

$stmt = $mysqli->prepare("INSERT INTO `users` (`email`, `psw`) VALUES (?, ?)");
$stmt->bind_param("ss", $email, $psw);

在准备好的语句不可行的情况下，实施严格的白名单来限制允许的输入。这确保了只处理安全值。

总之，虽然 mysqli_real_escape_string 提供了一些针对 SQL 注入的保护，但它并不是万无一失的。准备好的语句或参数化查询以及白名单提供了针对这些攻击的更强大的防御机制。

以上是`mysqli_real_escape_string` 足以防止 SQL 注入吗？的详细内容。更多信息请关注PHP中文网其他相关文章！