mysql_real_escape_string() 是否提供针对 SQL 注入攻击的完整保护？

mysql_real_escape_string() 能否完美防止 SQL 注入攻击？

工作时，有人担心 mysql_real_escape_string() 对抗 SQL 注入的有效性具有一定的亚洲特色

绕过问题

根据消息来源，mysql_real_escape_string() 可能容易被使用 Big5 或 GBK 字符编码绕过。这些编码允许反斜杠显示为第二个、第三个或第四个字节，这可能会破坏转义过程。

缓解策略

虽然 mysql_real_escape_string() 可能不会在所有情况下都完全可靠，有替代措施来防止 SQL注入：

• 准备好的语句：准备好的语句参数化查询，自动处理输入清理。
• mysql_set_charset： 正如Stefan Esser提到的，这是比 SET 更新且更安全的更改字符编码的方法NAMES.

在没有准备好的语句的情况下

如果准备好的语句不是一个选项，请考虑以下内容：

• UTF-8 编码： Esser 确保 UTF-8 对于以下内容是安全的与 mysql_real_escape_string() 一起使用。
• 输入过滤： 在执行查询之前使用正则表达式或其他技术过滤掉潜在的恶意字符。

结论

虽然mysql_real_escape_string()并不完全是防篡改，它仍然是防止 SQL 注入的有价值的工具。通过实施额外的缓解策略，例如 UTF-8 编码或输入过滤，您可以显着降低恶意攻击的风险。

以上是mysql_real_escape_string() 是否提供针对 SQL 注入攻击的完整保护？的详细内容。更多信息请关注PHP中文网其他相关文章！