htmlencoding 是避免 SQL 注入攻击的合适解决方案吗？

Question

我听说它声称防止 SQL 注入攻击的最简单解决方案是在插入数据库之前对所有文本进行 html 编码。然后，显然，在提取文本时对其进行解码。这个想法是，如果文本只包含＆符号、分号和字母数字，那么你就不能做任何恶意的事情。

虽然我看到许多这种方法似乎有效的案例，但我预见到使用这种方法会出现以下问题：

• 它声称是灵丹妙药。可能会阻止该技术的用户理解所有可能的相关问题 - 例如二阶攻击。
• 它不一定能防止任何二阶/延迟有效负载攻击。
• 它使用工具的目的与设计目的不同。这可能会导致代码的未来用户/开发人员/维护人员感到困惑。它的效果也可能远非最佳。
• 它给数据库的每次读写增加了潜在的性能影响。
• 它使得直接从数据库读取数据变得更加困难。
• 它增加了磁盘上数据的大小。 （现在每个字符约为 5 个字符 - 反过来，这也可能会影响磁盘空间要求、数据分页、索引大小和索引性能等？）
• 高范围 unicode 字符和组合字符是否存在潜在问题？
• 一些 html [en|de] 编码例程/库的行为略有不同（例如，有些编码撇号，有些则不编码。可能存在更多差异。）然后，这会将数据与用于读取和读取的代码联系起来。写下来。如果使用[en|de]编码不同的代码，则数据可能会被更改/损坏。
• 它可能会使处理（或至少调试）任何已经进行类似编码的文本变得更加困难。

我有什么遗漏的吗？
这实际上是防止 SQL 注入攻击问题的合理方法吗？
尝试以这种方式防止注入攻击是否存在任何根本问题？

Answer 1

您应该通过使用参数绑定来防止 sql 注入（例如，永远不要将 sql 字符串与用户输入连接起来，而是使用参数的占位符并让您使用的框架进行正确的转义）。另一方面，应该使用 Html 编码来防止跨站点脚本编写。

Answer 2

绝对不是。

应通过参数化查询来防止 SQL 注入。或者在最坏的情况下，通过转义 SQL 的 SQL 参数，而不是 HTML。每个数据库对此都有自己的规则，例如 mysql API（和大多数框架）为此提供了特定的函数。数据库中的数据本身在存储时不应被修改。

将 Web 内容返回到客户端浏览器时，转义 HTML 实体可以防止 XSS 和其他攻击。

Answer 3

您如何得知 HTML 编码文本在解码后仅包含 & 符号、分号和字母数字？

我确实可以在 HTML 中对“'”进行编码 - 这是让您陷入麻烦的事情之一（因为它是 SQL 中的字符串分隔符）。

因此，只有将 HTML 编码文本放入数据库时​​它才有效。

然后你在任何文本搜索和外部可读文本的呈现上都会遇到一些麻烦（就像在 SQL 管理器中一样）。我认为这是一个非常糟糕的架构情况，因为您还没有解决问题，只是用胶带封住了明显的攻击向量。

数字字段仍然存在问题，除非您的 HTML 处理是完美的，考虑到解决方法，我不会假设这一点。

使用 SQL 参数；）

Answer 4

启用 SQL 注入的单个字符是 SQL 字符串分隔符 '，也称为十六进制 27 或十进制 39。

该字符在 SQL 和 HTML 中的表示方式相同。因此 HTML 编码根本不会影响 SQL 注入攻击。