正则表达式足以阻止注入攻击吗？

Question

我有一个处理用户输入的脚本，在继续与数据库交互之前，它会使用正则表达式验证输入。我唯一的问题是，正则表达式是否足以消除注入攻击，还是我仍然需要应用 mysql_real_escape_string() ？

Answer 1

这实际上取决于表达的“好”程度；例如，“你是否涵盖了所有基础？”为了安全起见，将其放入 mysql_real_escape_string 并没有什么坏处。如果您在脚本中使用几次，不会对性能产生影响。

Answer 2

如果正则表达式为 ^$ 则为如此。对于所有其他输入，这取决于正则表达式是否允许转义字符通过。由于这些取决于数据库和连接设置，因此您应该真正使用准备好的语句 或者，如果这不是一个选项，则每次都使用mysql_real_escape_string。

Answer 3

如果你的正则表达式足够好，那么是的，但是，为什么要冒这个风险呢？

Answer 4

除非你有一个令人惊叹的正则表达式，否则我个人不相信它是完整的。

错误总是在于保护太多而不是太少。包括对 mysql_real_escape_string 的调用。