est "MySQLI" MySqli_Real_escape_String "suffisant contre les attaques SQL?

Votre code tente de protéger contre les injections SQL en utilisant" mysqli_real_escape_string () ". Cependant, comme indiqué par uri2x, cette mesure est inadéquate. Attaques d'injection. Par exemple, le code suivant pourrait toujours être vulnérable:

$ e-mail = mysqli_real_escape_string ($ db_con, $ _post ['e-mail']); $ query = "select * chez les utilisateurs où email = '". $ e-mail. "'"; Un attaquant peut saisir une adresse e-mail comme "email'@example.com" pour exploiter la requête, ajoutant des instructions SQL supplémentaires après l'entrée échappée.

$email = mysqli_real_escape_string($db_con, $_POST['email']);
$query = "SELECT * FROM users WHERE email = '" . $email . "'";

au lieu de "mysqli_real_escape_string ()", le moyen le plus efficace d'éviter les injections SQL est d'employer des instructions préparées. Instructions préparées séparent les données de la chaîne de requête, empêchant la contamination des données.

$ stmt = $ db_con-> Préparer ("Insérer dans les utilisateurs (e-mail, PSW) VALEURS (?,?)"); $ stmt-> bind_param ('ss', $ email, $ psw); $ email = mysqli_real_escape_string ($ db_con, $ _post ['email']); $ psw = mysqli_real_escape_string ($ db_con, $ _post ['psw']); $ stmt-> Execute ();

$stmt = $db_con->prepare("INSERT INTO users (email, psw) VALUES (?, ?)");
$stmt->bind_param('ss', $email, $psw);
$email = mysqli_real_escape_string($db_con, $_POST['email']);
$psw = mysqli_real_escape_string($db_con, $_POST['psw']);
$stmt->execute();

Conclusion

"mysqli_real_escape_string ()" seul est insuffisant pour protéger contre les injections SQL. Les déclarations préparées et la liste blanche stricte fournissent des garanties plus robustes contre ces attaques.