W podręczniku PHP, istnieje uwaga:Czy mysql_real_escape_string wystarczy do Anti SQL Injection?
Uwaga: Jeśli funkcja ta nie jest wykorzystywana do danych ewakuacyjnych, zapytanie jest podatny do SQL Injection Attacks.
Czy to wystarczy do wstrzyknięcia anty sql? Jeśli nie, czy możesz podać przykład i dobre rozwiązanie wstrzyknięcia anty sql?
mysql_real_escape_string zwykle wystarcza, aby uniknąć iniekcji SQL. Zależy to jednak od tego, czy jest wolny od błędów, tj. Istnieje niewielka nieznana szansa, że jest on podatny na ataki (ale nie objawiło się to jeszcze w realnym świecie). Lepszą alternatywą całkowicie wykluczającą iniekcje SQL na poziomie koncepcyjnym jest prepared statements. Obie metody całkowicie zależą od prawidłowego ich zastosowania; to znaczy, że nie będzie cię chronić, jeśli po prostu to zepsujesz.
, aby wyjaśnić: istnieje również szansa, że PDO emuluje przygotowane zapytania (dla mysql) i nie używa natywnych mysql. Nie ma takiej deklaracji w dokumentacji php (lub nie mogę jej znaleźć). – zerkms
"PDO będzie emulować dla sterowników, które ich nie obsługują" --- to za mało, ponieważ: a) zainstalowany (stary) libmysql może nie obsługiwać przygotowany; b) PDO wciąż nie może używać natywnych przygotowanych wyciągów. – zerkms
Najlepsze rozwiązanie to PDO.
Jeśli używasz tradycyjnego mysql_query, wystarczy uruchomić wszystkie dane przez mysql_real_escape_string().
Co to są sparametryzowane zapytania? – Jichao
Sparametryzowane zapytania są również dostępne w rozszerzeniach 'PDO' – stillstanding
Zobacz [Czy mysql_real_escape_string() W PEŁNI chroni przed iniekcją SQL? ] (http://stackoverflow.com/questions/1220182/does-mysql-real-escape-string-fully-protect-against-sql- injection). –
zdecydowanie duplikat powyższego – mikeycgto