sql >> データベース >  >> RDS >> Mysql

mysqli_real_escape_stringは、SQLインジェクションやその他のSQL攻撃を回避するのに十分ですか?

    安全かどうか、SQLインジェクション攻撃やその他のSQL攻撃に対して脆弱かどうかを誰かに教えてもらえますか?

    いいえ。 uri2xが言うように、 mysql_real_escape_string()を回避するSQLインジェクションを参照してください。

    最善の方法SQLインジェクションを防ぐには、プリペアドステートメントを使用します。 これらは、データ(パラメーター)を命令(SQLクエリ文字列)から分離し、データがクエリの構造を汚染する余地を残しません。プリペアドステートメントは、アプリケーションセキュリティの基本的な問題 の1つを解決します。 。

    プリペアドステートメントを使用できない状況の場合(例:LIMIT )、特定の目的ごとに非常に厳密なホワイトリストを使用することが、保証する唯一の方法です。 セキュリティ。

    // This is a string literal whitelist
    switch ($sortby) {
        case 'column_b':
        case 'col_c':
            // If it literally matches here, it's safe to use
            break;
        default:
            $sortby = 'rowid';
    }
    
    // Only numeric characters will pass through this part of the code thanks to type casting
    $start = (int) $start;
    $howmany = (int) $howmany;
    if ($start < 0) {
        $start = 0;
    }
    if ($howmany < 1) {
        $howmany = 1;
    }
    
    // The actual query execution
    $stmt = $db->prepare(
        "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
    );
    $stmt->execute(['value']);
    $data = $stmt->fetchAll(PDO::FETCH_ASSOC);
    

    上記のコードは、あいまいなエッジの場合でもSQLインジェクションの影響を受けないと思います。 MySQLを使用している場合は、エミュレートされた準備をオフにしてください。

    $db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);
    



    1. データベース暗号化:3つのタイプとそれらが必要な理由

    2. MySQLパスワード機能

    3. 最後に挿入された行から値を取得するにはどうすればよいですか?

    4. 行を返さないSELECTsqlステートメントのExecuteNonQuery