`mysqli_real_escape_string` 足以防止 SQL 注入吗？

mysqli_real_escape_string 足以防止 SQL 注入吗？

问题：

在提供的 PHP 中代码，使用 mysqli_real_escape_string 是否足以防止SQL注入攻击？

  $email= mysqli_real_escape_string($db_con,$_POST['email']);
  $psw= mysqli_real_escape_string($db_con,$_POST['psw']);

  $query = "INSERT INTO `users` (`email`,`psw`) VALUES ('".$email."','".$psw."')";

答案：

不，仅仅依靠mysqli_real_escape_string不足以防止SQL注入和其他SQL攻击。

Prepared statements 为防止 SQL 注入提供了更强大的解决方案。它们将数据和指令分开，确保用户提供的输入不会干扰查询的结构。

对于无法使用准备好的语句的情况，为特定目的实施严格的白名单可以提供一些保护。这涉及为每个参数定义可接受值的预定列表，以防止恶意输入。

使用白名单和类型转换的示例：

switch ($sortby) {
    case 'column_b':
    case 'col_c':
        // Safe to use
        break;
    default:
        $sortby = 'rowid';
}

$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
    $start = 0;
}
if ($howmany < 1) {
    $howmany = 1;
}

// Execute the query using prepared statements
$stmt = $db->prepare(
    "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

确保准备好的语句与模拟准备已关闭，特别是在使用 MySQL 时。

$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);

以上是`mysqli_real_escape_string` 足以防止 SQL 注入吗？的详细内容。更多信息请关注PHP中文网其他相关文章！