mysql_real_escape_string()是否完全防止SQL注入?
[英]Does mysql_real_escape_string() FULLY protect against SQL injection?
问题描述
在http://www.justinshattuck.com/2007/01/18/mysql-injection-cheat-sheet/?akst_action=share-this上 ,有一节声称可以绕过某些亚洲字符编码的mysql_real_escape_string
用BIG5或GBK绕过mysql_real_escape_string()
“注射线”
に关する追加情报:上面的字符是中文Big5
这是真的吗? 如果是这样,如果您无法访问预先准备好的声明,您将如何保护您的网站不受此影响?
4 个解决方案
解决方案1
25 已采纳 2009-08-03 02:59:29
根据Stefan Esser的说法, “当使用SET NAMES时 , mysql_real_escape_string()不安全。”
他的解释来自他的博客 :
SET NAMES通常用于将编码从默认编码切换到应用程序所需的编码。 这是以
mysql_real_escape_string不知道的方式完成的。 这意味着如果你切换到一些允许反斜杠作为第二个第3个第4个...字节的多字节编码,你会遇到麻烦,因为mysql_real_escape_string没有正确转义。 UTF-8很安全......更改编码的安全方法是
mysql_set_charset,但这仅适用于新的PHP版本
但他确实提到UTF-8是安全的。
解决方案2
19 2009-08-03 01:14:51
这是一个MySQL服务器错误,据报道已于2006年5月修复。
看到:
- MySQL bug#8303 :包含\\的多字节字符的字符串文字不正确
- MySQL Bug#8317 :查询中的字符集介绍者无法覆盖连接字符集
- MySQL Bug#8378 :使用客户端字符集'gbk'错误地转义字符串
- MySQL 5.1.11 changelog 。
在MySQL 4.1.20,5.0.22,5.1.11中修复了该错误。
如果使用4.1.x,5.0.x或5.1.x,请确保至少已升级到次要修订号。
作为解决方法,您还可以启用SQL模式NO_BACKSLASH_ESCAPES ,该模式禁用反斜杠作为引用转义字符。
解决方案3
3
我很确定如果使用SQL来更改char编码,它只会起作用。
解决方案4
1 2015-07-30 02:19:54
正如其他人所证明的那样, mysql_real_escape_string()可以在不起眼的边缘情况下被绕过 。 这是绕过逃逸逻辑的一种已知策略,但可能还有其他尚未发现的未知漏洞。
在PHP中防止SQL注入的简单而有效的方法是尽可能使用预准备语句 ,并且在不可能的情况下使用非常严格的白名单。
准备好的语句,当实际使用而不是由PDO驱动程序模拟时,可证明是安全的(至少在SQL注入方面),因为它们解决了应用程序安全性的基本问题:它们将数据与操作数据的指令分开。 它们是分开发送的; 参数化值永远不会有污染查询字符串的机会。
这是2015年。不要再逃避和连接了。 您仍应根据应用程序(和业务)逻辑验证输入,但只使用预准备语句。
PHP mysql_real_escape_string()保护数据库名称吗?
[英]does PHP mysql_real_escape_string() protect database name?
mysql_real_escape_string对Anti SQL注入是否足够?
[英]Is mysql_real_escape_string enough to Anti SQL Injection?
避免使用mysql_real_escape_string和stripslashes进行SQL注入
[英]Avoiding SQL injection using mysql_real_escape_string and stripslashes
在哪里使用mysql_real_escape_string来阻止SQL注入?
[英]Where to use mysql_real_escape_string to prevent SQL Injection?
mysql_real_escape_string是否足以防止HTML注入?
[英]Is mysql_real_escape_string enough for preventing HTML injection?
mysql_real_escape_string()对十六进制编码的数据是否不安全?
[英]Is mysql_real_escape_string() unsafe against hexadecimal encoded data?
即使我们正在清理输入mysql_real_escape_string,SQL注入易受攻击的代码
[英]SQL injection vulnerable code even when we are sanitizing the input mysql_real_escape_string
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
SQL注入mysql_real_escape_string
PHP mysql_real_escape_string()保护数据库名称吗?
绕过 mysql_real_escape_string() 的 SQL 注入
mysql_real_escape_string对Anti SQL注入是否足够?
避免使用mysql_real_escape_string和stripslashes进行SQL注入
在哪里使用mysql_real_escape_string来阻止SQL注入?
mysql_real_escape_string没有逃脱“
mysql_real_escape_string是否足以防止HTML注入?
mysql_real_escape_string()对十六进制编码的数据是否不安全?
即使我们正在清理输入mysql_real_escape_string,SQL注入易受攻击的代码
相关标签