SQL 인젝션 공격 방지

Question

안녕하세요, 모두 실험 중이며 포럼을 구현할 웹 사이트를 만들기 시작했습니다. 웹 사이트에 영향을 미칠 수있는 보안 문제를 조사하기 시작했습니다. 사이트 간 스크립팅 및 SQL 주입 공격과 같은 영역.

모든 HTML 태그를 제거하는 연구에서 XSS가 방지됩니다. SQL 특수 문자를 제거하여 SQL 주입 공격을 막을 수 있습니까?

<?php 
require "dbconn.php"; 

$mnam = strip_tags($_GET['blogentername']); 
$mcom = strip_tags($_GET['blogmessage']); 
$approve = 'N'; 
$dte = gmdate("d-M-Y H:i:s"); 

$mnam = mysql_real_escape_string($user); 
$mcom = mysql_real_escape_string($mcom); 

$query = "INSERT INTO blogentry VALUES ('".$mnam."','".$dte."','".$mcom."','".$approve."','','')"; 

$results = mysql_query($query) 
      or die(mysql_error()); 

header('Location:messages.php?messagesent=1'); 

?> 

덕분에 당신을 위해 시간 앤디

Answer 1

코드에 대해 - 예, 꽤 안전하고 뚫을 수 없습니다.

그러나 SQL 주입을 방어하려는 생각은 일반적으로 매우 잘못되었습니다.

코드에 "SQL 특수 문자 제거"가 없습니다. 그리고 그러한 스트리핑에는 전혀 문제가 없습니다.
문자열이 인 경우 이라고하면 적절하게 으로 형식화 된 인 경우 매우 안전합니다. 그러나 다른 모든 SQL 리터럴의 경우 "스트립 핑"이라고하는 것은 실제로 아무 것도 제거하지 않습니다.

Answer 2

당신은 태그를 제거해서는 안 모두. 데이터베이스 원시에 저장 한 다음 브라우저에 출력 할 때 htmlspecialchars을 사용하십시오.

Answer 3

SQL 명령을 작성하기 위해 문자열 연결을 사용하지 않는 것이 가장 좋습니다.

매개 변수화 된 쿼리를 사용하십시오. 본질적으로 훨씬 안전하며 동일한 유형의 명령문을 여러 번 수행 할 때 성능을 향상시키기 위해 데이터베이스 엔진에서 최적화 할 수 있습니다.

여기에 예제가있는 추가 정보 : How can I prevent SQL injection in PHP?