> 백엔드 개발 > PHP 튜토리얼 > mysql_real_escape_string은 SQL 주입을 방지하기에 충분합니까?

mysql_real_escape_string은 SQL 주입을 방지하기에 충분합니까?

Susan Sarandon
풀어 주다: 2024-10-26 21:30:29
원래의
784명이 탐색했습니다.

  Is mysql_real_escape_string Enough to Prevent SQL Injection?

mysql_real_escape_string으로 피해야 할 실수

SQL 주입을 방지하기 위해 일반적으로 사용되는 방법임에도 불구하고 mysql_real_escape_string은 부적절하게 활용될 경우 공격으로부터 보호하지 못할 수 있습니다. . 문자열 값에서 특수 문자를 효율적으로 이스케이프하는 동안 효율성이 저하되는 특정 시나리오가 발생할 수 있습니다.

올바른 사용법: 인용된 문자열 값

mysql_real_escape_string은 다음과 같은 경우에만 사용해야 합니다. SQL 문에 따옴표로 묶인 텍스트 내용을 삽입합니다. 예:

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";
로그인 후 복사

잘못된 사용법

mysql_real_escape_string을 잘못 적용하면 취약점이 발생할 수 있습니다. 일반적인 실수는 다음과 같습니다.

  • 따옴표가 없는 컨텍스트에서 사용(예: ...column_name = $value ...)
  • 문자열이 아닌 값에 적용(예: 숫자 입력)
  • SQL 컨텍스트 외부에서 잘못 적용(예: $sql = mysql_real_escape_string("... foo = '$value' ..."))

인코딩 고려 사항

또 다른 함정은 데이터베이스 연결 인코딩을 잘못 구성하는 것입니다. 올바른 방법은 다음과 같습니다.

mysql_set_charset('utf8', $link);
로그인 후 복사

그러나 mysql_query("SET NAMES 'utf8'", $link)를 사용하면 mysql_ API의 가정 인코딩과 데이터베이스의 실제 인코딩 간에 불일치가 발생할 수 있습니다. 이는 잠재적으로 멀티바이트 문자열과 관련된 주입 공격을 허용할 수 있습니다.

결론

mysql_real_escape_string은 의도한 대로 사용된다면 여전히 유용한 도구입니다. 그러나 SQL 주입 취약점을 방지하려면 한계를 인식하고 올바르게 적용하는 것이 필수적입니다. 보안 강화 및 사용 편의성을 위해 준비된 문과 같은 보다 현대적인 대안을 모색하는 것이 좋습니다.

위 내용은 mysql_real_escape_string은 SQL 주입을 방지하기에 충분합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿