PHP:mysql_real_escape_string是否足以清除用户输入？

Question

mysql_real_escape_string在大多数情况下是否足以清理用户输入？

::编辑::

我主要考虑的是防止SQL注入,但我最终想知道在应用mysql_real_escape_string之后是否可以信任用户数据,或者我是否应该采取额外措施来清理数据,然后再将其传递给应用程序和数据库.

我知道清除HTML字符的位置很重要,但我不认为有必要信任用户输入.

Ť

Answer 1

mysql_real_escape_string在所有情况下都不够,但绝对是非常好的朋友.该更好的解决方案是使用预处理语句

//example from http://php.net/manual/en/pdo.prepared-statements.php

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

// insert one row
$name = 'one';
$value = 1;
$stmt->execute();

此外,不要忘记可用于丢弃任何无效/可疑字符的HTMLPurifier.

...........

编辑: 根据以下评论,我需要发布此链接(我应该在抱歉创建混淆之前完成)

mysql_real_escape_string()与准备语句

引用:

mysql_real_escape_string()容易出现影响addslashes()的同类问题.

Chris Shiflett(安全专家)

Answer 2

你的问题的答案是否定的.没有mysql_real_escape_string()不适合所有用户输入,mysql_real_escape_string()不会停止所有sql注入.addslashes()是另一个在php中使用的流行函数,它也有同样的问题.

弱势代码:

mysql_query("select * from user where id=".mysql_real_escape_string($_GET[id]));

poc exploit:

http://localhost/sql_test.php?id=1 or sleep(500)

补丁是在id周围使用引号:

mysql_query("select * from user where id='".mysql_real_escape_string($_GET[id])."'");

真正最好的方法是使用一些人们指出的参数化查询.Pdo运行良好,adodb是另一个流行的php库.

如果你确实使用mysql_real_escape_string应该只用于sql注入,而不是别的.漏洞高度依赖于数据的使用方式.人们应该逐个功能地应用安全措施.是的,XSS是一个非常严重的问题.不对html进行过滤是一个严重的错误,黑客会用它来解决你的问题.请阅读xss常见问题解答.

Answer 3

对于数据库,是的.您还需要考虑为输出充分转义/编码数据.

您还应该考虑根据预期验证输入.

你考虑过使用准备好的陈述吗？PHP提供了许多与数据库交互的方法.其中大多数都比mysql_*函数更好.

PDO,MDB2和MySQL改进应该让你入门.