`mysqli_real_escape_string` 足以防止 SQL 注入攻击吗？

“mysqli_real_escape_string”足以防止 SQL 攻击吗？

提供的代码利用 mysqli_real_escape_string 来防止 SQL 注入。然而，需要注意的是，仅此函数不足以提供完整的保护。

SQL 注入漏洞

尽管使用了 mysqli_real_escape_string，但代码仍然容易受到 SQL 注入攻击。这是因为它使用字符串串联来组装 SQL 查询，这使得攻击者可以通过表单输入注入恶意代码来操纵查询。

推荐解决方案：准备好的语句

防止SQL注入最有效的方法是通过准备好的语句。它们将数据参数与查询指令分开，消除了污染的可能性。下面是一个示例：

$stmt = $db_con->prepare("INSERT INTO `users` (`email`, `psw`) VALUES (?, ?)");
$stmt->bind_param("ss", $email, $psw);
$stmt->execute();

额外安全措施

如果准备好的语句不可行，请考虑：

• 白名单验证： 将用户输入限制为一组预定义的允许输入值。
• 类型转换： 确保值正确转换为其预期类型，防止恶意代码执行。
• 禁用模拟准备语句：如果使用 MySQL，请设置 $db_con->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);增强安全性。

通过实施这些措施，您可以显着增强应用程序针对 SQL 注入和其他 SQL 攻击的安全性。

以上是`mysqli_real_escape_string` 足以防止 SQL 注入攻击吗？的详细内容。更多信息请关注PHP中文网其他相关文章！