Datenbank
MySQL-Tutorial
Kann SQL-Injection auch mit „mysql_real_escape_string()' noch auftreten?
Kann SQL-Injection auch mit „mysql_real_escape_string()' noch auftreten?
auftreten Obwohl allgemein angenommen wird, dass MySQL_REAL_ESCAPE_STRING () die SQL -Injektion verhindern kann, kann in bestimmten Fällen eine SQL -Injektion immer noch auftreten. Das Folgende erklärt, wie dieser Angriff passiert ist:
- Zeichensatzauswahl:
-
Stellen Sie den Serverzeichen fest, so dass die ASCII -Rückneigung (0x5c) und den ungültigen Multi -Line -Zeichenzeichen (z. B. GBK). Dies kann über die Anweisung Set Namensanweisung implementiert werden.
-
Erstellen Sie eine effektive Last, beginnend mit 0xBF27. Im angegebenen Zeichensatz (z. B. GBK) bedeutet dies ein ungültiges Multi -Line -Zeichen, das in Latin1 in 0x27 (Spar) konvertiert wird.
mysql_real_escape_string () operation: -
MySQL_REAL_ESCAPE_STRING () basierend auf den Operationen mit verbundenem Zeichen (Latin1) basierend auf den Operationen mit verbundenem Zeichen (GBK). Es ist wirksam, auf 0x5c27 gültig zu sein. Da der Kunde immer noch glaubt, dass er Latin1 verwendet, ist der Backslash (0x5c) immer noch unrentabel.
- Abfrageausführung:
- Die Rendering -Abfrage enthält einen unvorbereiteten Skimmer im Inhalt der Gerechtigkeit, was zu einem erfolgreichen Injektionsangriff führt.
PDO und MySQLI Schwachstellen: PDOs standardmäßige Verwendung analoger Vorverarbeitungsanweisungen, die leicht angegriffen werden können.
mysqli ist nicht betroffen, da es eine echte Vorverarbeitungserklärung verwendet.
Entlastungsmaßnahmen:- Verwenden Sie nicht -Angriffs -Zeichensätze, um die Codierung zu verbinden (z. B. UTF8).
Simulation vor -prozessierende Aussagen in PDO deaktivieren.
- Die folgenden Bedingungen werden verifiziert:
- Moderne MySQL -Version mit dem richtigen Charakter -Set -Management
- oder nicht -vulnerbare Zeichensätze verwenden
Sie können diese potenzielle Lücke reduzieren.
Das obige ist der detaillierte Inhalt vonKann SQL-Injection auch mit „mysql_real_escape_string()' noch auftreten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.
Heißer Artikel
Heiße Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Heiße Themen
So lösen Sie das Problem der MySQL können die gemeinsame Bibliothek nicht öffnen
Mar 04, 2025 pm 04:01 PM
Dieser Artikel befasst sich mit MySQLs Fehler "Die freigegebene Bibliotheksfehler". Das Problem ergibt sich aus der Unfähigkeit von MySQL, die erforderlichen gemeinsam genutzten Bibliotheken (.SO/.dll -Dateien) zu finden. Lösungen beinhalten die Überprüfung der Bibliotheksinstallation über das Paket des Systems m
Reduzieren Sie die Verwendung des MySQL -Speichers im Docker
Mar 04, 2025 pm 03:52 PM
In diesem Artikel wird die Optimierung von MySQL -Speicherverbrauch in Docker untersucht. Es werden Überwachungstechniken (Docker -Statistiken, Leistungsschema, externe Tools) und Konfigurationsstrategien erörtert. Dazu gehören Docker -Speichergrenzen, Tausch und CGroups neben
Wie verändern Sie eine Tabelle in MySQL mit der Änderungstabelleanweisung?
Mar 19, 2025 pm 03:51 PM
In dem Artikel werden mithilfe der Änderungstabelle von MySQL Tabellen, einschließlich Hinzufügen/Löschen von Spalten, Umbenennung von Tabellen/Spalten und Ändern der Spaltendatentypen, erläutert.
Führen Sie MySQL in Linux aus (mit/ohne Podman -Container mit Phpmyadmin)
Mar 04, 2025 pm 03:54 PM
Dieser Artikel vergleicht die Installation von MySQL unter Linux direkt mit Podman -Containern mit/ohne phpmyadmin. Es beschreibt Installationsschritte für jede Methode und betont die Vorteile von Podman in Isolation, Portabilität und Reproduzierbarkeit, aber auch
Was ist SQLite? Umfassende Übersicht
Mar 04, 2025 pm 03:55 PM
Dieser Artikel bietet einen umfassenden Überblick über SQLite, eine in sich geschlossene, serverlose relationale Datenbank. Es beschreibt die Vorteile von SQLite (Einfachheit, Portabilität, Benutzerfreundlichkeit) und Nachteile (Parallelitätsbeschränkungen, Skalierbarkeitsprobleme). C
Wie konfiguriere ich die SSL/TLS -Verschlüsselung für MySQL -Verbindungen?
Mar 18, 2025 pm 12:01 PM
In Artikel werden die Konfiguration der SSL/TLS -Verschlüsselung für MySQL, einschließlich der Erzeugung und Überprüfung von Zertifikaten, erläutert. Das Hauptproblem ist die Verwendung der Sicherheitsauswirkungen von selbstsignierten Zertifikaten. [Charakterzahl: 159]
Ausführen mehrerer MySQL-Versionen auf macOS: Eine Schritt-für-Schritt-Anleitung
Mar 04, 2025 pm 03:49 PM
In diesem Handbuch wird die Installation und Verwaltung mehrerer MySQL -Versionen auf macOS mithilfe von Homebrew nachgewiesen. Es betont die Verwendung von Homebrew, um Installationen zu isolieren und Konflikte zu vermeiden. Der Artikel Details Installation, Starten/Stoppen von Diensten und Best PRA
Was sind einige beliebte MySQL -GUI -Tools (z. B. MySQL Workbench, PhpMyAdmin)?
Mar 21, 2025 pm 06:28 PM
In Artikel werden beliebte MySQL -GUI -Tools wie MySQL Workbench und PhpMyAdmin beschrieben, die ihre Funktionen und ihre Eignung für Anfänger und fortgeschrittene Benutzer vergleichen. [159 Charaktere]
