Die Unterschiede zwischen mehreren Anti-SQL-Injection-Angriffsfunktionen

Der SQL-Injection-Angriff ist die häufigste Methode, mit der Hacker Websites angreifen. Wenn Ihre Website keine strenge Benutzereingabevalidierung verwendet, ist sie häufig anfällig für SQL-Injection-Angriffe. SQL-Injection-Angriffe werden in der Regel durch die Übermittlung fehlerhafter Daten oder Abfrageanweisungen an die Site-Datenbank implementiert, was dazu führen kann, dass Datensätze in der Datenbank offengelegt, geändert oder gelöscht werden.

Um SQL-Injection-Angriffe zu verhindern, verfügt PHP über eine Funktion, die die Eingabezeichenfolge verarbeiten und eine vorläufige Sicherheitsverarbeitung der Eingabe auf der unteren Ebene durchführen kann, nämlich Magic Quotes. (php.ini magic_quotes_gpc). Wenn die Option magic_quotes_gpc aktiviert ist, wird einfachen Anführungszeichen, doppelten Anführungszeichen und anderen Zeichen in der Eingabezeichenfolge automatisch ein Backslash / vorangestellt.

Aber Magic Quotes ist keine sehr universelle Lösung, es blockiert nicht alle potenziell gefährlichen Zeichen und Magic Quotes ist auf vielen Servern nicht aktiviert. Daher müssen wir auch verschiedene andere Methoden verwenden, um die SQL-Injection zu verhindern.

Viele Datenbanken bieten diese Funktionalität zur Eingabedatenverarbeitung nativ an. Zu den MySQL-Betriebsfunktionen von PHP gehören beispielsweise addslashes(), mysql_real_escape_string(), mysql_escape_string() und andere Funktionen, die Sonderzeichen und Zeichen maskieren können, die Fehler beim Datenbankbetrieb verursachen können. Was sind also die Unterschiede zwischen diesen drei Funktionsfunktionen? Lassen Sie uns weiter unten ausführlich darüber sprechen.

Obwohl viele inländische PHP-Programmierer immer noch auf Addslashes angewiesen sind, um SQL-Injection zu verhindern, wird empfohlen, dass jeder die Überprüfungen verstärkt, um SQL-Injection auf Chinesisch zu verhindern. Das Problem mit Addslashes besteht darin, dass Hacker 0xbf27 anstelle von einfachen Anführungszeichen verwenden können, während Addslashes nur 0xbf27 in 0xbf5c27 ändert, was zu einem gültigen Multibyte-Zeichen wird. 0xbf5c wird weiterhin als einfaches Anführungszeichen betrachtet, sodass Addslashes nicht erfolgreich abgefangen werden können.

Addslashes ist natürlich nicht nutzlos. Es wird für die Verarbeitung von Einzelbyte-Zeichenfolgen verwendet. Verwenden Sie mysql_real_escape_string.

Außerdem für das Beispiel von get_magic_quotes_gpc im PHP-Handbuch:

if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}

Am besten überprüfen Sie $_POST[’lastname’], wenn magic_quotes_gpc bereits geöffnet ist.

Lassen Sie uns über den Unterschied zwischen den beiden Funktionen mysql_real_escape_string und mysql_escape_string sprechen:

mysql_real_escape_string muss unter (PHP 4 >= 4.3.0, PHP 5) verwendet werden. Andernfalls können Sie nur mysql_escape_string verwenden. Der Unterschied zwischen den beiden ist: mysql_real_escape_string berücksichtigt den aktuellen Zeichensatz der Verbindung, während mysql_escape_string dies nicht tut.

Um es zusammenzufassen:

* addslashes() ist eine erzwungene Addition von /;
* mysql_real_escape_string() bestimmt den Zeichensatz, es gibt jedoch Anforderungen für die PHP-Version;
* mysql_escape_string berücksichtigt nicht den aktuellen Zeichensatz der Verbindung.

Um die SQL-Injection in dz zu verhindern, verwenden Sie die Funktion addslashes. Gleichzeitig gibt es einige Ersetzungen in der dthmlspecialchars-Funktion $string = preg_replace('/&((#(/d{3 ,5}|x [a-fA-F0-9]{4}));)/', '&//1', dieser Ersatz löst das Injektionsproblem und löst auch einige Probleme mit chinesischen verstümmelten Zeichen

Empfohlenes Lernen: PHP-Video-Tutorial

Das obige ist der detaillierte Inhalt vonDie Unterschiede zwischen mehreren Anti-SQL-Injection-Angriffsfunktionen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!