`mysql_real_escape_string()` 和 `mysql_escape_string()` 足以防止 MySQL 注入攻击吗？

MySQL 注入攻击：深入探究

简介

确保 Web 应用程序的安全至关重要，而数据库保护是这项工作的重要组成部分。本文研究了使用 mysql_real_escape_string() 和 mysql_escape_string() 在防范 SQL 攻击方面的有效性。

转义函数足以保证安全吗？

mysql_real_escape_string() 和 mysql_escape_string () 通常用于在插入数据之前转义数据进入 SQL 查询。然而，这些函数是否足以抵御所有攻击向量？

专家意见

根据专家的说法，mysql_real_escape_string() 并不能提供针对 SQL 注入的完整保护。这是因为它只是为了转义查询中的 PHP 变量。它无法处理转义表或列名称或 LIMIT 字段。

已知攻击的漏洞

考虑以下示例：

$sql = "SELECT number FROM PhoneNumbers " .
       "WHERE " . mysql_real_escape_string($field) . " = " . mysql_real_escape_string($value);

此查询如果 $field 或 $value 包含恶意输入，则容易受到 SQL 注入。黑客可以制作绕过转义并执行未经授权的命令的恶意查询。

特定攻击向量

• LIKE 攻击： mysql_real_escape_string( ) 对于 LIKE 攻击无效，例如 LIKE "$data%"。这可能会暴露表中的所有记录，从而可能泄露敏感信息。
• 字符集漏洞：这些漏洞利用 Internet Explorer 和 PHP 的字符集处理中的漏洞。它们可以允许黑客执行任意 SQL 查询。

演示

以下代码演示了如何利用这些攻击：

$sql = sprintf("SELECT url FROM GrabbedURLs WHERE %s LIKE '%s%%' LIMIT %s",
               mysql_real_escape_string($argv[1]),
               mysql_real_escape_string($argv[2]),
               mysql_real_escape_string($argv[3]));

• 输入 1: 返回以以下内容开头的 URL "http://www.reddit.com"
• 输入 2： 返回每个结果（漏洞利用）
• 输入 3： 意外执行SQL 查询

解决方案：已准备好语句

专家建议使用准备好的语句而不是转义函数。预准备语句是服务器端技术，可保证仅执行有效的 SQL。这种方法提供了针对已知和未知 SQL 注入的全面保护。

使用 PDO 的示例

$sql = 'SELECT url FROM GrabbedURLs WHERE ' . $column . '=? LIMIT ?';
$statement = $pdo->prepare($sql);
$statement->execute(array($value, $limit));

此代码使用准备好的语句来转义用户输入并执行查询

结论

虽然mysql_real_escape_string() 和 mysql_escape_string() 提供了一些针对 SQL 注入的保护，但它们不足以实现完全的安全性。准备好的语句是增强数据库安全性的推荐方法。

以上是`mysql_real_escape_string()` 和 `mysql_escape_string()` 足以防止 MySQL 注入攻击吗？的详细内容。更多信息请关注PHP中文网其他相关文章！