首頁猿問 PHP：mysql_real_es...

PHP：mysql_real_escape_string是否足以清除用戶輸入？

PHP 安全

LEATH 2019-07-27 09:50:33

PHP：mysql_real_escape_string是否足以清除用戶輸入？mysql_real_escape_string在大多數(shù)情況下是否足以清理用戶輸入？：：編輯：：我主要考慮的是防止SQL注入，但我最終想知道在應(yīng)用mysql_real_escape_string之后是否可以信任用戶數(shù)據(jù)，或者我應(yīng)該采取額外措施來清理數(shù)據(jù)，然后再將其傳遞給應(yīng)用程序和數(shù)據(jù)庫。我知道清除HTML字符的位置很重要，但我不認(rèn)為有必要信任用戶輸入。?

查看完整描述

3 回答

守候你守候我

TA貢獻(xiàn)1802條經(jīng)驗(yàn) 獲得超10個(gè)贊

你的問題的答案是否定的。沒有mysql_real_escape_string（）不適合所有用戶輸入，mysql_real_escape_string（）不會(huì)停止所有sql注入。addslashes（）是另一個(gè)在php中使用的流行函數(shù)，它也有同樣的問題。

弱勢(shì)代碼：

mysql_query("select * from user where id=".mysql_real_escape_string($_GET[id]));

poc exploit：

http://localhost/sql_test.php?id=1 or sleep(500)

補(bǔ)丁是在id周圍使用引號(hào)：

mysql_query("select * from user where id='".mysql_real_escape_string($_GET[id])."'");

真正最好的方法是使用一些人們指出的參數(shù)化查詢。Pdo運(yùn)行良好，adodb是另一個(gè)流行的php庫。

如果你確實(shí)使用mysql_real_escape_string應(yīng)該只用于sql注入，而不是別的。漏洞高度依賴于數(shù)據(jù)的使用方式。人們應(yīng)該逐個(gè)功能地應(yīng)用安全措施。是的，XSS是一個(gè)非常嚴(yán)重的問題。不對(duì)html進(jìn)行過濾是一個(gè)嚴(yán)重的錯(cuò)誤，黑客會(huì)用它來解決你的問題。請(qǐng)閱讀xss常見問題解答。

反對(duì) 回復(fù) 2019-07-27