sql >> Database teknologi >  >> RDS >> Mysql

Er mysqli_real_escape_string nok til at undgå SQL-injektion eller andre SQL-angreb?

Kan nogen fortælle mig, om det er sikkert, eller om det er sårbart over for SQL Injection-angrebet eller andre SQL-angreb?

Nej. Som uri2x siger, se SQL-injektion, der kommer omkring mysql_real_escape_string() .

Den bedste måde at forhindre SQL-injektion er at bruge forberedte sætninger. De adskiller dataene (dine parametre) fra instruktionerne (SQL-forespørgselsstrengen) og efterlader ikke plads til, at dataene kan forurene strukturen af ​​din forespørgsel. Forberedte erklæringer løser et af de grundlæggende problemer med applikationssikkerhed .

Til situationer, hvor du ikke kan bruge forberedte sætninger (f.eks. LIMIT ), at bruge en meget streng hvidliste til hvert specifikt formål er den eneste måde at garanti på sikkerhed.

// This is a string literal whitelist
switch ($sortby) {
    case 'column_b':
    case 'col_c':
        // If it literally matches here, it's safe to use
        break;
    default:
        $sortby = 'rowid';
}

// Only numeric characters will pass through this part of the code thanks to type casting
$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
    $start = 0;
}
if ($howmany < 1) {
    $howmany = 1;
}

// The actual query execution
$stmt = $db->prepare(
    "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

Jeg antager, at ovenstående kode er immun over for SQL-injektion, selv i obskure edge-tilfælde. Hvis du bruger MySQL, skal du sørge for at slå emulerede forberedelser fra.

$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);



  1. Indeksering ando:GIN-indekser

  2. Android - opdater klientens sqlite-database ved hjælp af GCM

  3. Ydeevne overraskelser og antagelser:DATEDIFF

  4. MySql-fejl 150 - Fremmednøgler