masyarakat Belajar Perpustakaan Alatan Masa lapang
cari
Melayu
Rumah > pangkalan data > tutorial mysql > Adakah `mysqli_real_escape_string()` Cukup untuk Mencegah Serangan Suntikan SQL?

Adakah `mysqli_real_escape_string()` Cukup untuk Mencegah Serangan Suntikan SQL?

Susan Sarandon
Lepaskan: 2024-12-14 07:41:10
asal
655 orang telah melayarinya

Is `mysqli_real_escape_string()` Enough to Prevent SQL Injection Attacks?

Adakah "mysqli_real_escape_string" MySQLi Mencukupi Melawan Serangan SQL?

Kod anda cuba melindungi daripada suntikan SQL menggunakan "mysqli_real_escape_string()". Walau bagaimanapun, seperti yang ditunjukkan oleh uri2x, langkah ini tidak mencukupi.

Kerentanan kepada SQL Injection

"mysqli_real_escape_string()" hanya terlepas daripada aksara tertentu, menjadikan pertanyaan anda terdedah kepada SQL serangan suntikan. Sebagai contoh, kod berikut masih boleh terdedah:

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$query = "SELECT * FROM users WHERE email = '" . $email . "'";
Salin selepas log masuk

Penyerang boleh memasukkan alamat e-mel seperti "email'@example.com" untuk mengeksploitasi pertanyaan, menambah pernyataan SQL tambahan selepas input yang dilepaskan.

Penggunaan Penyata Disediakan

Sebaliknya "mysqli_real_escape_string()", cara paling berkesan untuk menghalang suntikan SQL adalah dengan menggunakan pernyataan yang disediakan. Penyataan yang disediakan memisahkan data daripada rentetan pertanyaan, menghalang pencemaran data.

$stmt = $db_con->prepare("INSERT INTO users (email, psw) VALUES (?, ?)");
$stmt->bind_param('ss', $email, $psw);
$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);
$stmt->execute();
Salin selepas log masuk

Penyenaraian Putih Aksara Tegas

Dalam situasi di mana pernyataan yang disediakan tidak boleh dilaksanakan, melaksanakan watak yang ketat senarai putih boleh menjamin keselamatan. Ini melibatkan input penapisan untuk memastikan ia hanya mengandungi aksara yang dibenarkan.

Kesimpulan

"mysqli_real_escape_string()" sahaja tidak mencukupi untuk melindungi daripada suntikan SQL. Kenyataan yang disediakan dan penyenaraian putih yang ketat memberikan perlindungan yang lebih teguh terhadap serangan ini.

Atas ialah kandungan terperinci Adakah `mysqli_real_escape_string()` Cukup untuk Mencegah Serangan Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Artikel sebelumnya:Bagaimana untuk Membetulkan Ralat "Sistem Konfigurasi .NET Gagal Memulakan"? Artikel seterusnya:Bagaimana Saya Boleh Mencegah Kebuntuan dalam MySQL?
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
Isu terkini
function_exists() tidak boleh menentukan fungsi tersuai Ujian fungsi () {return true;} jika (function_exists ('test')) {echo "test is functio...
daripada 2024-04-29 11:01:01
0
3
2184
Bagaimana untuk memaparkan versi mudah alih Google Chrome Hello cikgu, bagaimana saya boleh menukar Google Chrome kepada versi mudah alih?
daripada 2024-04-23 00:22:19
0
11
2331
Tetingkap anak mengendalikan tetingkap induk, tetapi output tidak bertindak balas. Dua ayat pertama boleh dilaksanakan, tetapi ayat terakhir tidak boleh dilaksanakan.
daripada 2024-04-19 15:37:47
0
1
1960
Tiada output dalam tetingkap induk document.onclick = function(){ window.opener.document.write('Saya adalah output tetingkap ...
daripada 2024-04-18 23:52:34
0
1
1845
Di manakah perisian kursus tentang pemetaan minda CSS? Perisian kursus
daripada 2024-04-16 10:10:18
0
0
1897
Topik-topik yang berkaitan
Lagi>
Cadangan popular
Tutorial Popular
Lagi>
Tutorial berkaitan
Cadangan popular
Kursus terkini
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan