Ist urlencode() gut genug, um zu beenden Sie alle SQL-injection-Angriffe im Jahr 2011

Bin ich vorbei an einigen einfachen Benutzer Daten in eine mysql-Datenbank.

PHP ist urlencode() Gibt einen string zurück, in dem alle nicht-alphanumerischen Zeichen außer -_. ersetzt wurden mit einem Prozentzeichen (%) gefolgt von zwei hex-Ziffern.

Ich bin nicht besorgt über die Bereiche drehen ins plus, oder andere Probleme mit der Formatierung.
Weder mache ich mir sorgen um XSS-und andere HTML-hacks.

Ich glaube, ich sollte sicher sein von ' und ) style-Attacken.

FRAGE: gibt es andere Arten von sql-Angriffe verwendet werden könnten, mit - oder _ oder . ?

BEISPIEL:

mysql_query("UPDATE cars SET color = '".urlencode($c)."' WHERE garage = 29");

Danke im Voraus

  • Was ist falsch mit der Verwendung mysql_real_escape_string?
  • im Jahr 2011, sollten Sie Graben mysql_* - Funktion, start mit mysqli_* - Funktion, oder PDO
  • mysqli ist ein schmerzhafter Alptraum im Vergleich zu PDO
  • Jahr 2013 Check-in. noch nicht gut genug.
InformationsquelleAutor Chris | 2011-02-15
  1. 10

    urlencode() hat nichts zu tun mit SQL, damit es nicht so viel, um zu verhindern, dass SQL-injection als Kerosin tut, um Ihre Burger lecker. Außerdem alles, was in Ihre Datenbank, werden am Ende der URL kodiert ist, die Sie dann zu Dekodieren, wenn Sie wollen, etwas nützliches zu tun, mit Ihnen nach dem abrufen der Datenbank.

    Flucht Ihrer Anfragen, auf der anderen Seite, hilft Ihre Anwendung zum Schutz gegen SQL-injection, und nichts mehr. Es nicht die Daten ändern, die Sie in Ihren Abfragen; es nur schützt Ihre Anfragen manipuliert. Das ist die Idee der SQL-Injektion, und es ist auch, warum die URL-Codierung werden Ihre Daten nicht alles tun, um gegen Sie zu schützen. Zugegeben, es hat schalten Sie Ihre Apostrophe ' in %27, wodurch Sie harmlos, aber wie bereits in dem vorstehenden Absatz nicht nach, haben Sie, um URL-decodieren Sie wieder in Hochkommas, um Sie zu benutzen.

    Verwenden Sie das richtige Werkzeug für den richtigen Zweck. Vor allem im Jahr 2011, Sie verwendet werden sollten prepared statements anstatt manuell die Flucht Ihrer query-Variablen und strings verketten zu bilden, Abfragen.

    • wie diese : Kerosin tut, um Ihre Burger lecker. 🙂
    • Ich verstehe, dass für die meisten Menschen, die Sie würde wollen, dass Informationen weitergegeben werden. Aber meine Frage war mehr einfach. Die Frage ist. wenn die nur nicht alpha ist . _ und -, wie können sql-Anweisungen eingefügt werden mit der einfachen code-Beispiel oben? Do u wissen, dass Angriffe, verwenden Sie nur die Zeichen und alpha? Wie gesagt, ich bin nicht besorgt über die Formatierung, in der Tat, es passt für meine Zwecke, haben Sie urlencoded-format, wie ich Sie übergeben um zwischen Webseiten.
    • Wenn Sie möchten, zu URL-codieren Sie für Ihre Anwendung verwenden, ist das in Ordnung, aber nicht auf Sie verlassen, um zu schützen, Ihre Anfragen bei der Injektion. Wie in meinem letzten Absatz sagt, verwenden Sie das richtige Werkzeug für den richtigen job. Verwenden Sie entweder den engagierten mysql_real_escape_string() - Funktion oder verwenden Sie vorbereitete Anweisungen, um wirklich Schutz vor SQL-injection-Angriffe.
    InformationsquelleAutor BoltClock
  2. 9

    Nicht. Es ist tatsächlich gefährlich, zu verwenden der url-Kodierung für SQL-injection-Schutz.

    1. URL-Codierung ist die Prozent-Kodierung. Und % chars, die in SQL eine Besondere Bedeutung haben in vielen Datenbanken. Beispiel: WIE Klauseln. Erlaubt % chars in dynamic SQL wird noch zu Problemen führen.
    2. Besteht die Gefahr, dass intermediate (web -) Servern automatisch url-Dekodierung. Apache kann dies tun.
    • die erste und bis jetzt einzige Antwort, die tatsächlich sagt uns, was schief gehen kann.
    InformationsquelleAutor karthik
  3. 2

    Ich glaube nicht, dass urlencode allein gut genug sein wird, zu stoppen von sql-Injektion. Sie haben atleast mysql_real_escape_string oder prepared statements from PDO..

    InformationsquelleAutor Nik
  4. 0

    Verwenden Sie PDO und paramaterized Abfragen.

    InformationsquelleAutor Stephen
Schreibe einen Kommentar