删除所有非数字字符是否可以有效转义数据？

Question

在写入 MYSQL dB 之前，我使用此函数从字段中剥离所有非数字：

function remove_non_numeric($inputtext) {return preg_replace("/[^0-9]/","",$inputtext);

这是否有效地转义输入数据以防止 SQL 注入？我可以将此函数包装在 mysql_real_escape_string 中，但认为这可能是多余的。

Answer 1

当涉及到 SQL 注入时，假设是所有哔哔声之母。无论如何，将其包装在 mysql_real_escape_string 中。

Answer 2

它不会转义数据，但它确实是 OWASP 推荐方法的示例。

通过从输入中删除除数字以外的所有内容，您可以通过实施 白名单来有效防止 SQL 注入。没有任何偏执可以使生成的字符串（在这种特定情况下）成为有效的 SQL 注入有效负载。

但是，代码会老化、发生变化，并且会被误解，因为它是由新开发人员继承的。因此，底线、正确的建议、最重要的就是通过以下 3 个步骤中的一个或多个来积极防止 SQL 注入。按照这个顺序。曾经。单身的。时间。

1. 使用安全的数据库 API。 （例如准备好的语句或参数化查询）
2. 使用数据库特定的转义或转义例程（mysql_real_escape_string 属于此类）。
3. 白名单可接受输入值的域。 （您提出的数字解决方案属于此类）

mysql_real_escape_string 并不是所有反 SQL 注入的答案。它甚至不是最可靠的方法，但它确实有效。剥离除数字以外的所有内容就是将安全值列入白名单，也是一个好主意 - 然而，这两者都不如使用安全 API。