Adakah `mysqli_real_escape_string` Mencukupi untuk Mencegah Suntikan SQL?-tutorial mysql-php.cn

Adakah `mysqli_real_escape_string` Mencukupi untuk Mencegah Suntikan SQL?

DDD

Lepaskan： 2024-12-17 20:30:19

asal

224 orang telah melayarinya

Is `mysqli_real_escape_string` Sufficient to Prevent SQL Injection?

Adakah mysqli_real_escape_string Cukup untuk Menghalang SQL Injection?

Soalan:

Dalam PHP yang disediakan kod, adakah penggunaan mysqli_real_escape_string mencukupi untuk menghalang SQL serangan suntikan?

  $email= mysqli_real_escape_string($db_con,$_POST['email']);
  $psw= mysqli_real_escape_string($db_con,$_POST['psw']);

  $query = "INSERT INTO `users` (`email`,`psw`) VALUES ('".$email."','".$psw."')";

Salin selepas log masuk

Jawapan:

Tidak, bergantung semata-mata pada mysqli_real_escape_string tidak mencukupi untuk menghalang suntikan SQL dan serangan SQL yang lain.

Kenyataan yang disediakan menyediakan penyelesaian yang lebih mantap untuk mencegah suntikan SQL. Mereka mengasingkan data dan arahan, memastikan input yang diberikan pengguna tidak mengganggu struktur pertanyaan.

Untuk situasi di mana pernyataan yang disediakan tidak boleh digunakan, melaksanakan senarai putih yang ketat untuk tujuan tertentu boleh menawarkan sedikit perlindungan. Ini melibatkan penentuan senarai nilai yang boleh diterima yang telah ditetapkan untuk setiap parameter untuk mengelakkan input berniat jahat.

Contoh menggunakan senarai putih dan taip penghantaran:

switch ($sortby) {
    case 'column_b':
    case 'col_c':
        // Safe to use
        break;
    default:
        $sortby = 'rowid';
}

$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
    $start = 0;
}
if ($howmany < 1) {
    $howmany = 1;
}

// Execute the query using prepared statements
$stmt = $db->prepare(
    "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

Salin selepas log masuk

Adalah penting untuk memastikan bahawa pernyataan yang disediakan digunakan dengan persediaan yang dicontohi dimatikan, terutamanya apabila menggunakan MySQL.

$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);

Salin selepas log masuk

Atas ialah kandungan terperinci Adakah `mysqli_real_escape_string` Mencukupi untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!