PHP/MYSQL SQL 주입 공격 방지 기능

Question

SQL 주입 공격에 대한 체계적인 업그레이드와 보호를 원합니다. 나는 세 가지 주요 메소드가 pdo, prepared statements와 mysql_escape_string인데, pdo는 최상으로 간주되지만 mysql_escape_string은 당신이 세심한면 충분하다고 생각한다. 필자는 PDO로 갈 준비가되어 있지 않다고 생각합니다. 여러 테이블을 포함하는 많은 복잡한 쿼리를 처리 할 때 커다란 작업이 될 수 있습니다. 하지만 더 프로그래밍 방식으로 mysql_escape_string을 사용하고 싶습니다.

사용자가 제출 한 모든 개별 변수를 이스케이프 처리하지 않고 구두점을 처리하기 위해 수정이 필요한 표준 함수를 사용하여 SQL 명령을 이스케이프 처리하려고했습니다.이 방법이 건전한 접근인지 또는 전체 쿼리를 이스케이프 처리하여 문제를 만듭니다. 아포스트로피, 백틱 및 %를 사용하십시오. 모든 SQL 문에 대한 표준 함수는 변수 접근 방식에 의한 변수보다 체계적이고 표준적일 것입니다. 그렇다면 구두점을 처리하기위한 수정이 필요할 수 있습니다. 또한, htmlspecialchars 및 strip_tags와 같은 함수에 들어가야하는 것이 있습니까? mysql_escape_string이 100 % 완성되지 않았습니까?

다음은 기본 기능입니다.

function safe($sql) { 
$safesql = mysql_real_escape_string($sql); 
return $safesql; 
} 

Answer 1

난 내가 여러 테이블을 포함하는 복잡한 쿼리를 많이 가지고있는이 거대한 작업이 될 것이다, 그래서 PDO 또는 준비된 명령문에 갈 준비가 생각하지 않습니다.

거대한? 혹시. 그럴만 한 가치가있는 노력.

는 전체 쿼리가 문제

예

을 만들 탈출합니다. 당신의 함수는 SQL 조각이 주입 공격인지 또는 의도 한 것인지 알 수있는 방법이 없습니다.

은 에 삽입되는 지점에서 탈출해야합니다. SQL에 텍스트를 삽입 할 수 없으며 이후에 어떤 비트가 SQL이고 어느 비트가 텍스트인지를 파악할 수 없습니다.

는 아무것도 그 같은 반드시 htmlspecialchars로 함수에 가야한다고이 있고

strip_tags 멀리 데이터를 발생 strip_tags. 나는 그것을 사용하지 않을 것이다.

과 htmlspecialchars은 안전하지 않은 데이터가 HTML 문서에 삽입되는 것을 방지합니다. 데이터를 SQL에 삽입하기 전에 HTML 문서에 데이터를 삽입하기 전에이를 사용하십시오.

Answer 2

전체 쿼리와 작동시키는 유일한 방법은 자신의 SQL 구문 분석기를 작성한 후에도 마법을 사용하여 시도해야합니다. 을 참조하십시오. 쿼리의 일부는 SQL 주입입니다. 그렇게 할 수는 없습니다. 전체 쿼리를 한꺼번에 처리 할 수는 없습니다.

Answer 3

그냥 명확히하기 위해 전체 쿼리에서 mysql_real_escape_string을 사용하지 말고 쿼리를 작성하는 데 사용하는 문자열 값만 사용해야합니다.

예 :

의 phpBB에서 사람이 쓴 나는 개인적으로 데시벨 수준처럼

"Select Id from table where username ='".mysql_real_escape_string($username)."' limit 1"; 

Answer 4

. 그것은 우수하고 빠르고 안전합니다.

Answer 5

필자는 개인적으로 복잡한 쿼리를 보호하는 것이 PDO, ActiveRecord 등을 사용하는 것보다 훨씬 복잡하고 시간 소모적이라고 생각할 수 있다고 생각합니다. 또한 코드를 데이터베이스와 무관하게 만들 수 있습니다.