> 백엔드 개발 > PHP 튜토리얼 > `mysqli_real_escape_string`은 SQL 주입에 대한 완벽한 보호를 제공합니까?

`mysqli_real_escape_string`은 SQL 주입에 대한 완벽한 보호를 제공합니까?

Linda Hamilton
풀어 주다: 2024-12-20 03:02:13
원래의
676명이 탐색했습니다.

Does `mysqli_real_escape_string` Offer Complete Protection Against SQL Injection?

"mysqli_real_escape_string"을 사용하여 SQL 주입을 완전히 방지할 수 있습니까?

다음 예제 코드를 고려하세요.

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);

$query = "INSERT INTO `users` (`email`,`psw`) 
           VALUES ('" . $email . "','" . $psw . "')";
로그인 후 복사

이 코드는 SQL 삽입 및 기타 공격으로부터 안전한가요? 공격?

답변: 아니요.

제공된 코드 예제에서 강조한 것처럼 "mysqli_real_escape_string"만으로는 SQL 주입에 대한 보호를 보장하기에 충분하지 않습니다. . 공격자는 구현 시 취약점을 악용하여 필터링을 우회하고 애플리케이션을 손상시킬 수 있습니다.

권장 솔루션:

SQL 삽입을 방지하는 가장 효과적인 방법은 다음을 사용하는 것입니다. 준비된 진술. 준비된 문은 SQL 쿼리에서 데이터를 분리하여 외부 입력이 쿼리 구조를 방해하지 않도록 합니다. 또한 의도된 목적에 맞게 데이터를 필터링하려면 엄격한 화이트리스트를 구현하는 것이 좋습니다. 이 접근 방식은 SQL 삽입 및 기타 보안 취약점의 위험을 최소화합니다.

준비된 문을 사용한 보안 쿼리의 예:

$stmt = $db->prepare(
    "SELECT * FROM table 
    WHERE col = ? ORDER BY {$sortby} ASC 
    LIMIT ?, ?"
);
$stmt->execute(['value', $start, $howmany]);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);
로그인 후 복사

이러한 조치를 통합하면 다음을 수행할 수 있습니다. 악의적인 공격에 대비하여 SQL 작업의 보안을 크게 강화합니다.

위 내용은 `mysqli_real_escape_string`은 SQL 주입에 대한 완벽한 보호를 제공합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿