mysql_real_escape_string() 对于 MySQL REGEXP 是否足够？

Question

是否可以选择以下代码中的 $user_input 来使 MySQL 查询不按预期运行？

<?
$regexp = mysql_real_escape_string( $user_input );
mysql_query( "SELECT col FROM table WHERE col REGEXP \"$regexp\"" );
?>

我无法使用准备好的语句，因为 SQL 字符串需要稍微传递一下。

编辑：我要补充一点，我已经知道正则表达式 DoS 攻击。

Answer 1

此查询：

mysql_query("SELECT col FROM table WHERE col REGEXP '$regexp'");

不能被破坏以执行除 SELECT 之外的操作（我用单引号替换了双引号，因为 double 是仅 mysql 的扩展）。

但是，如果正则表达式本身不在您的直接控制范围内，则用户可能会使用它选择任何内容 - 您应该考虑这可能是一个问题。

Answer 2

不，你在那里是安全的（除了正则表达式，它当然可以是任何东西）。

如果你传递 $link_identifier 的话，你会更高效（也更安全），因为 PHP 必须知道有关数据库的信息才能正确转义（例如编码）。
所以这个函数并不是简单地转义字符串，而是询问mysql如何正确地完成它。

因此，传递链接标识符可确保您的字符串针对其预期的数据库正确转义。