mysql_real_escape_string() 是否完全防止 SQL 注入？

Question

在 http://www.justinshattuck .com/2007/01/18/mysql-injection-cheat-sheet/?akst_action=share-this ，有一个部分声称您可以使用某些亚洲字符编码绕过 mysql_real_escape_string

使用 BIG5 或 GBK 绕过 mysql_real_escape_string()

“注入字符串”
に关する追加情报：

以上字符为中文Big5

这是真的吗？ 如果是这样，如果您无法访问准备好的声明，您将如何保护您的网站免受这种情况的影响？

Answer 1

根据 Stefan Esser 的说法，“使用 SET NAMES 时，mysql_real_escape_string() [is] 不安全。”

他的解释是，来自他的博客：

SET NAMES 通常用于将编码从默认编码切换为应用程序需要的编码。
这是通过 mysql_real_escape_string 不知道的方式完成的。 这意味着如果您切换到某种允许反斜杠作为第 2 个第 3 个第 4 个…字节的多字节编码，您会遇到麻烦，因为 mysql_real_escape_string 无法正确转义。 UTF-8 是安全的...

更改编码的安全方法是mysql_set_charset，但这仅在新的 PHP 版本中可用

不过，他确实提到 UTF-8 是安全的。

Answer 2

这是一个 MySQL 服务器错误，据报道早在 2006 年 5 月就已修复。

请参阅：

• MySQL 错误#8303：包含 \ 的多字节字符的字符串文字被错误地词法
• MySQL Bug #8317：查询中的字符集引入者无法覆盖连接字符集
• MySQL 字符串转义不正确
• Bug #8378：使用客户端字符集“gbk” MySQL 5.1.11 变更日志。

该错误已在 MySQL 4.1.20、5.0.22、5.1.11 中修复。

如果您使用 4.1.x、5.0.x 或 5.1.x，请确保您至少已升级到次要版本号。

作为解决方法，您还可以启用 SQL 模式 NO_BACKSLASH_ESCAPES 禁用反斜杠作为引号转义字符。

Answer 3

我很确定只有当您使用 SQL 更改 char 编码时它才不起作用。

Answer 4

正如其他人所证明的，mysql_real_escape_string() 在模糊的边缘情况下可以被绕过。 这是绕过转义逻辑的一种已知策略，但可能还有其他尚未发现的未知漏洞。

准备好的语句在实际使用时而不是由 PDO 驱动程序模拟时，可证明是安全的（至少在 SQL 注入方面），因为它们解决了应用程序安全性的基本问题：它们将数据与对数据进行操作的指令。 它们以单独的数据包发送； 参数化值永远不会污染查询字符串。

都2015年了，别再逃避和串联了。 您仍然应该根据应用程序（和业务）逻辑验证您的输入，但只需使用准备好的语句。