sql >> Database >  >> RDS >> Mysql

Is mysqli_real_escape_string voldoende om SQL-injectie of andere SQL-aanvallen te voorkomen?

Kan iemand mij vertellen of het veilig is of dat het kwetsbaar is voor de SQL Injection-aanval of andere SQL-aanvallen?

Nee. Zoals uri2x zegt, zie SQL-injectie die rond mysql_real_escape_string() gaat .

De beste manier om SQL-injectie te voorkomen, is het gebruik van voorbereide instructies. Ze scheiden de gegevens (uw parameters) van de instructies (de SQL-queryreeks) en laten geen ruimte over voor de gegevens om de structuur van uw query te besmetten. Voorbereide verklaringen lossen een van de fundamentele problemen van applicatiebeveiliging op .

Voor situaties waarin u geen voorbereide verklaringen kunt gebruiken (bijv. LIMIT ), is het gebruik van een zeer strikte witte lijst voor elk specifiek doel de enige manier om te garanderen beveiliging.

// This is a string literal whitelist
switch ($sortby) {
    case 'column_b':
    case 'col_c':
        // If it literally matches here, it's safe to use
        break;
    default:
        $sortby = 'rowid';
}

// Only numeric characters will pass through this part of the code thanks to type casting
$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
    $start = 0;
}
if ($howmany < 1) {
    $howmany = 1;
}

// The actual query execution
$stmt = $db->prepare(
    "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

Ik stel dat de bovenstaande code immuun is voor SQL-injectie, zelfs in obscure edge-gevallen. Als je MySQL gebruikt, zorg er dan voor dat je geëmuleerde voorbereidingen uitschakelt.

$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);



  1. Netwerkbelasting testen met iPerf

  2. Uw ASP.NET-kerntoepassing verbinden met een lokaal exemplaar van SQLServer

  3. Hoe het aantal seconden na middernacht in Oracle Database te retourneren?

  4. Hoe DevOps DBaaS (Database-as-a-Service) zou moeten gebruiken om hun applicatie-ontwikkeling te optimaliseren