mysql_real_escape_string可以单独阻止各种SQL注入吗?
可能重复:
绕过mysql_real_escape_string()的SQL注入
我还没有看到任何评价或没有过时的信息。因此,存在一个问题:mysql_real_escape_string()是否完全可以防止SQL注入?但是它已经非常过时了(它从‘09开始),所以从‘12的php 5.3和mysql 5.5开始,它是否可以完全保护?
问题答案:
mysql_real_escape_string ALONE不能阻止 任何事情。
而且, 此功能与注射完全无关。
每当需要转义时,尽管有“安全性”,但仍需要转义,只是因为 SQL语法要求 转义 。 而且在您不需要的地方,转义也不会帮助您。
此函数的用法很简单:当您必须在查询中使用 带引号的字符串
时,必须转义其内容。不是因为某些虚构的“恶意用户”,而是只是为了逃避这些用于分隔字符串的引号。这是非常简单的规则,但PHP人士却非常误解。
这只是语法相关的功能,而不是安全性。
取决于此功能在安全方面的重要性,相信它将“保护数据库免受恶意用户的攻击” 将 导致您被注入。
您可以得出的结论:
不,此功能还不够 。
准备好的声明 也不是万灵药。
它只在可能的情况下覆盖您的背部。有关详细信息,请参见我对著名问题所做的重要补充
-
问题内容: 在http://www.justinshattuck.com/2007/01/18/mysql-injection-cheat- sheet/?akst_action=share- this上 ,有一节声称您可以使用某些亚洲字符编码绕过mysql_real_escape_string 用BIG5或GBK绕过mysql_real_escape_string() “注入线” に关する追加情
-
问题内容: 即使使用函数,是否存在SQL注入的可能性? 考虑这种示例情况。SQL是用PHP构造的,如下所示: 我听到很多人对我说,这样的代码仍然很危险,即使使用了函数也可能被黑。但是我想不出任何可能的利用方式? 像这样的经典注射: 不工作。 您是否知道上面的PHP代码会进行任何可能的注入? 问题答案: 考虑以下查询: 不会保护您免受此侵害。 您可以在查询中的变量周围使用单引号()来防止这种情况。以
-
问题内容: 我遇到了一群黑客。他们几次入侵了我客户的网站,我的客户更加生气:(我的客户丢失了他的数据库(有数百条记录),不得不输入所有:( 现在,我将进行更多介绍。 固定文件权限 更改了ftp和主机登录信息 清除所有远程mysql访问 现在正在处理SQL注入问题。我在管理面板登录参数中添加了mysql_real_escape_string。所以我还应该在哪里使用mysql_real_escape_
-
问题内容: 我一直在向同事和SO讲这两种方法,以讲究在SQL查询(尤其是.NET应用程序)中使用参数的好处。我什至甚至承诺它们可以抵抗SQL注入攻击。 但是我开始怀疑这是否真的是真的。是否存在可以对参数化查询成功进行的已知SQL注入攻击?例如,您是否可以发送导致服务器上的缓冲区溢出的字符串? 当然,要确保Web应用程序是安全的,还需要考虑其他因素(例如清理用户输入和所有其他内容),但是现在我正在考
-
问题内容: 即使在使用函数时,也有可能注入SQL吗? 考虑此示例情况。SQL是用PHP构造的,如下所示: 我听到很多人对我说,这样的代码仍然很危险,即使使用了函数也可能被黑。但是我想不出任何可能的利用方式? 像这样的经典注射: 不工作。 您是否知道上面的PHP代码会进行任何可能的注入? 问题答案: 考虑以下查询: 不会保护您免受此侵害。 在查询中的变量周围 使用单引号()的事实可以防止这种情况的发
-
问题内容: 在PHP手册中,有一条注释: 注意:如果不使用此功能对数据进行转义,则该查询容易受到SQL注入攻击的攻击。 这足以进行反SQL注入吗?如果没有,您能举个例子和一个好的反SQL注入解决方案吗? 问题答案: 通常足以避免SQL注入。不过,这确实取决于它是否没有错误,即它 存在 脆弱性的可能性很小(但是这还没有在现实世界中体现出来)。准备好的语句是在概念上完全排除SQL注入的更好的替代方法。