我建了一个网站,即将上线,有几个关于防止SQL注入的问题,我知道如何使用mysqli_real_escape_string
, 但我想知道是否需要对所有用于SQL语句的变量都使用它,以及在执行select语句时,是否也要使用它,或者只需在insert、update和delete语句中使用?此外,在我上线之前,您还推荐我实施哪些其他安全措施?非常感谢您的帮助!
我建了一个网站,即将上线,有几个关于防止SQL注入的问题,我知道如何使用mysqli_real_escape_string
, 但我想知道是否需要对所有用于SQL语句的变量都使用它,以及在执行select语句时,是否也要使用它,或者只需在insert、update和delete语句中使用?此外,在我上线之前,您还推荐我实施哪些其他安全措施?非常感谢您的帮助!
任何查询都可以被注入,无论是读取还是写入、持续性的还是瞬时性的。可以通过结束一个查询并运行另一个查询(使用 mysqli
可能会出现这种情况),从而使有意义的查询变得不相关。
来自外部源的任何输入(无论是来自用户还是内部)都应该被视为查询的参数,并在查询上下文中作为参数。查询中的任何参数都需要被参数化。这将导致一个正确参数化的查询,您可以从中创建一个准备好的语句并使用参数执行。例如:
SELECT col1 FROM t1 WHERE col2 = ?
?
是参数的占位符。使用mysqli
,您可以使用prepare
创建一个预处理语句,使用bind_param
将变量(参数)绑定到参数,并使用execute
运行查询。 您不需要对参数进行任何净化处理(实际上这样做是有害的)。mysqli
会替您完成此操作。完整的过程是:
$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();
参数化查询(parameterized query)和预处理语句(prepared statement)之间也有一个重要的区别。即使该语句是经过预处理的,但它并没有被参数化,因此容易受到注入攻击:
$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");
总结:
mysqli_real_escape_string
更好的解决方案。我一定会再仔细研究一下,然后实施它。非常感谢! - user2201765
mysqli_real_escape_string
相关,而你所谈论的问题是关于SQL注入的一般性问题。 - user2201765