`mysqli_real_escape_string` 是否提供足够的保护来防止 SQL 注入？

“mysqli_real_escape_string”能否有效缓解 SQL 注入攻击？

尽管“mysqli_real_escape_string”功能被广泛使用，但仅靠“mysqli_real_escape_string”功能不足以完全防范防止SQL注入

“mysqli_real_escape_string”的限制

“mysqli_real_escape_string”旨在转义特殊字符，否则可能会被利用来操纵预期的 SQL 查询。然而，它对模式匹配的依赖仅涵盖有限的字符集，为攻击者通过替代方法注入恶意代码留下了空间。

准备语句的优越性

为了有效防止SQL注入，强烈建议使用准备好的语句。准备好的语句将数据（参数）与实际查询字符串隔离，防止任何污染的可能性。这种分离有效地消除了 SQL 注入的威胁，即使在复杂的查询中也是如此。

额外的安全措施

在预准备语句不可行的情况下，可以使用严格的白名单实现将输入限制为预定的安全值。这种方法可确保在 SQL 查询中仅使用经过批准的数据，从而最大限度地降低恶意注入的风险。

示例实现

考虑以下代码片段，使用准备好的语句来防止 SQL 注入：

$query = $db->prepare("INSERT INTO `users` (`email`,`psw`) VALUES (?, ?)");
$query->execute([$email, $psw]);

在此示例中，数据（电子邮件和 psw）作为参数传递给准备好的

因此，虽然“mysqli_real_escape_string”提供了一些保护，但使用准备好的语句和/或严格的白名单仍然是针对 SQL 注入攻击的最可靠和安全的解决方案。

以上是`mysqli_real_escape_string` 是否提供足够的保护来防止 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！