| MySQL mysql | 您所在的位置:网站首页 › 防sql注入代码 › MySQL mysql |
|
$name = mysql_real_escape_string($_POST['name']);
$age = mysql_real_escape_string($_POST['age']);
$sql = "INSERT INTO user (name,age) VALUES ('$name',$age)";
mysql_query($sql);
然而,如果攻击者将输入的数据使用十六进制进行编码,比如'代表单引号,那么mysql_real_escap_string就无能为力了: $name = mysql_real_escape_string("Tom O'Neil"); $age = mysql_real_escape_string($_POST['age']); $sql = "INSERT INTO user (name,age) VALUES ('$name',$age)"; mysql_query($sql);这时候由于mysql_real_escape_string无法处理'这种编码字符,从而可能导致SQL注入漏洞的出现。 除了上述情况,另一个有可能绕过mysql_real_escape_string防御的情况是多字节字符集的SQL注入攻击(如utf-8编码),由于mysql_real_escape_string是针对单字节编码进行处理的,所以对于多字节字符集的编码不一定能够完全避免SQL注入攻击。 建议采用其他防护措施基于mysql_real_escape_string可能存在一些绕过漏洞的情况,对于高安全要求的web应用程序,我们建议采用其他更严密的防护措施。 例如,使用PDO扩展的Prepare/Execute机制可以用来减轻SQL注入攻击的风险。Prepare/Execute机制中,语句的参数被单独处理,以确保SQL和参数完全分离,并避免恶意用户输入成为SQL的一部分。示例如下: $pdo = new PDO($dsn, $user, $password); $sql = "SELECT * FROM user WHERE name=? AND age=?"; $stmt = $pdo->prepare($sql); $stmt->execute(array($_POST['name'], $_POST['age'])); $result = $stmt->fetchAll();其中将pdo->prepare()用来预处理SQL查询,通过占位符(?)来表示参数,保证了传入的参数不会被当成SQL命令的一部分。然后通过stmt->execute(array())方法来绑定参数,最后调用$stmt->fetchAll()来执行查询并获取结果。 另外,对于复杂的查询、更新等操作,可以使用ORM框架如Laravel、Yii等,这些框架提供了封装良好的数据库操作接口,可以有效的避免SQL注入攻击。 综上所述,虽然mysql_real_escape_string函数是一种有效的SQL注入攻击防御手段,但还存在一些漏洞和限制,我们需要结合其他更加严密的防护措施来保护自己的web应用程序。 总结SQL注入攻击是一种常见的Web安全威胁,而MySQL提供的mysql_real_escape_string函数可以帮助我们预防这种攻击。其将SQL中的单引号、双引号、反斜杠等特殊字符转义处理,以确保SQL语句正确执行。但是,mysql_real_escape_string并不能完全防止所有的注入攻击,针对一些特殊字符或者多字节编码时容易失效。因此,我们需要采取其他的防护措施,比如PDO的Prepare/Execute机制、ORM框架等来降低SQL注入攻击的风险。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |