Mysql
 sql >> Database >  >> RDS >> Mysql

mysqli_real_escape_string è sufficiente per evitare SQL injection o altri attacchi SQL?

Qualcuno potrebbe dirmi se è sicuro o se è vulnerabile all'attacco SQL Injection o ad altri attacchi SQL?

No. Come dice uri2x, vedi SQL injection che aggira mysql_real_escape_string() .

Il modo migliore per impedire l'iniezione di SQL è utilizzare istruzioni preparate. Separano i dati (i tuoi parametri) dalle istruzioni (la stringa di query SQL) e non lasciano spazio ai dati per contaminare la struttura della tua query. Le dichiarazioni preparate risolvono uno dei problemi fondamentali della sicurezza delle applicazioni .

Per situazioni in cui non è possibile utilizzare istruzioni preparate (ad es. LIMIT ), l'utilizzo di una whitelist molto rigida per ogni scopo specifico è l'unico modo per garantire sicurezza.

// This is a string literal whitelist
switch ($sortby) {
    case 'column_b':
    case 'col_c':
        // If it literally matches here, it's safe to use
        break;
    default:
        $sortby = 'rowid';
}

// Only numeric characters will pass through this part of the code thanks to type casting
$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
    $start = 0;
}
if ($howmany < 1) {
    $howmany = 1;
}

// The actual query execution
$stmt = $db->prepare(
    "SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

Suppongo che il codice sopra sia immune all'iniezione SQL, anche in casi limite oscuri. Se stai usando MySQL, assicurati di disattivare le preparazioni emulate.

$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);