SQL注入预防技术仍然脆弱？

Question

如果我使用 mysql_real_escape_string 和 addslashes 来避免网站中的 sql 注入攻击，这两个足以阻止 SQL 注入，因此 100% 确定现在没有人可以使用SQL注入？

Answer 1

这取决于您的查询；如果您只是谈论要插入数据库中的值，mysql_real_escape_string 就足够了，不需要addslashes。

如果您还谈论变量表或列名，则需要白名单，并且 mysql_real_escape_string 不会阻止对这些名称进行 sql 注入。

所以答案确实是：不，这取决于您的查询。

Answer 2

根本不要使用 addslashes；它不适合防止 SQL 注入。

仅使用 mysql_real_escape_string。如果需要更改字符编码，请使用 mysql_set_charset。

Answer 3

没有任何简单的“神奇”方法可以防止 SQL 注入。 mysql_real_escape_string 是一个好的开始，使用 PDO (docs ）甚至更好。最重要的是，您需要查看数据库结构、查询、数据源，然后进行思考。数据从哪里来？如果数据不符合我的预期会发生什么？

创建代码的整个结构时应考虑控制应用程序逻辑的流程。防止 SQL 注入的最佳方法是了解并控制数据库中的内容。

Answer 4

您永远不应该使用addslashes。只要坚持mysql_real_escape_string

无论如何，只有死亡是确定的。

如果你害怕死亡，你应该使用 PDO 来减少漏洞

http:// /it.php.net/manual/en/pdo.prepare.php

Answer 5

我想这取决于你的意思。

仅仅使用 mysql_real_escape_string 并不能 100% 地保护您，如果没有其他原因，可能会错误地使用它。

另一方面，正确使用 mysql_real_escape_string 应该可以为您提供接近 100% 的保护。

另一方面，与参数化查询相比，使用 mysql_real_escape_string 的程序员可能更容易犯错误。

如果您不确定您的代码，也许发布它并具体询问它可能更具教育意义/有用。

另外：同上其他人所说的关于addslashes的内容。