评论区sql注入

Question

我有一个由 2 个字段（标题和评论）组成的评论表单。数据库包含 3 列 id、标题和评论。评论是根据它的 title 显示的，如domain.com/index.php?id=sometitle

使用 mysql_real_escape_string 正确保护标题字段以进行 SQL 注入，但作为文本区域的注释字段保持打开状态而不会转义。我可以转义它，但是我想知道如果不在该字段上使用 mysql_real_escape_string 就留下它，知道标题已经转义并且这就是检索输出的方式，会造成什么危害。

Answer 1

如果有人在您的文本区域中输入此内容会发生什么。

some comment');DELETE FROM COMMENTS;--

如果您插入评论的查询类似于这样

INSERT INTO Comments(Title,Comment) VALUES('$title','$comments');

，那么您就会遇到问题。生成的查询将是

 INSERT INTO Comments(Title,Comment) VALUES('some title','some comment');DELETE FROM COMMENTS;--'

or 以更易读的格式进行布局

INSERT INTO Comments(Title,Comment) VALUES('some title','some comment');
DELETE FROM COMMENTS;--'

，最后的 --' 只是创建一个注释，以消除任何可能导致其无法正确解析的额外 SQL。

Answer 2

所有未转义的字符串都可用于注入 SQL。

Answer 3

如果有人在textarea中使用SQL注入，它会在数据提交到你的数据库时运行，这就是为什么你首先要逃避它。

Answer 4

逃避它。假设用户是发表评论的人，那么您很容易受到评论部分注入的攻击，该注入将在他们发布表单时执行，而不是请求查看评论。

Answer 5

不要让该字段未转义。该字段与什么链接并不重要。当查询形成时，注入器可以返回密码字段等。

要真正清除任何使用 SQL 注入的尝试，您需要使用存储过程。如果您有权访问它，您应该使用 PDO。