mysql_real_escape_string()과 addlashes()는 SQL 주입 방지에 동일합니까?

차이점 이해: mysql_real_escape_string() 대 addlashes()

mysql_real_escape_string()과 addlashes()는 모두 특수 문자를 이스케이프하는 데 사용됩니다. SQL 삽입 공격을 방지하기 위해 문자열에 문자를 삽입하는 경우 두 함수 사이에는 주요 차이점이 있습니다.

mysql_real_escape_string()

MySQL 데이터베이스용으로 특별히 설계된 이 함수는 슬래시를 추가합니다. 다음 문자:

• x00
• n
• r
• '
• "
• x1a

addslashes()

반면에 addslashes()는 세 문자에만 슬래시를 추가합니다.

• '
• NUL

보안 영향

addlashes()에만 의존하는 웹 애플리케이션 입력 유효성 검사는 여전히 SQL 주입 공격에 취약할 수 있습니다. 이는 addlashes()가 주입 공격에 사용될 수 있는 모든 문자, 즉

• 줄 바꿈(n 및 r): 이 문자는 유효성 검사를 우회하여 쿼리에 새 줄을 삽입하는 데 사용할 수 있습니다.
• 설명(--): 이 문자는 주석 처리에 사용할 수 있습니다. 나머지 쿼리는 공격자가 임의의 SQL 명령을 실행할 수 있도록 허용합니다.
• 추가 이스케이프 문자(x1a): mysql_real_escape_string()은 addlashes()가 지원하지 않는 추가 이스케이프 문자로부터 보호합니다. as x1a.

권장사항

최적의 보안을 위해 mysql_real_escape_string()과 addlashes()를 모두 사용하는 것을 피하고 대신 매개변수화된 쿼리나 준비된 쿼리를 사용하는 것이 좋습니다. 진술. 이러한 방법을 사용하면 수동 이스케이프 없이 사용자 입력을 쿼리에 바인딩할 수 있어 더욱 안전하고 효율적입니다.

위 내용은 mysql_real_escape_string()과 addlashes()는 SQL 주입 방지에 동일합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!