脚本宝典收集整理的这篇文章主要介绍了PHP:使用预准备语句并防止SQL注入vs转义,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
我知道我可以将用户输入映射到预定义的白名单.但是,这只有在事先可以创建或猜测白名单时才有可能.
例如,在我上面提到的情况(ASC或DESC)中,可以根据接受的值列表轻松映射和验证.但是,是否存在无法针对白名单验证sql语句部分的情况?
如果我要使用底层数据库的内置转义实用程序(例如mysql的MysqL_real_escaPE_string)来逃避user_input,我将在哪里失败?
我问这个问题的假设是我总是使用引用值构造我的sql语句 – 即使对于整数……
让我们看看下面的例子并反思它.
select {$fields} From {$table} where Age='{$age}' order by {$orderby_PRef}
假设所有变量都是用户提供的.
如果我是MysqL_real_escape_string上面的sql中的所有变量(而不是使用准备好的语句,这只包括我中途迫使我为另一半的白名单提供它无法帮助),它不会同样安全(并且更容易编码)?如果没有,输入方案转义实用程序将失败?
$fields = MysqL_escape($fields); $table = MysqL_escape($table); $age = MysqL_escape($age); $orderby_pref = MysqL_escape($orderby_pref); select {$fields} from {$table} where Age='{$age}' order by {$orderby_pref}
问题是表名和列名不是用单引号或双引号引用的,所以如果你使用一个专门引用这些字符的函数(当然还有一些……),它对你的表名不起作用.
考虑表名my_table; DELETE * FROM MysqL; SELECT * FROM my_table.这个字符串中的任何内容都不会被MysqL的转义函数转义,但它绝对是一个你想要检查白名单的字符串.
以上是脚本宝典为你收集整理的PHP:使用预准备语句并防止SQL注入vs转义全部内容,希望文章能够帮你解决PHP:使用预准备语句并防止SQL注入vs转义所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。