DB कनेक्शन के बिना डेटाबेस सुरक्षा के लिए एस्केपिंग स्ट्रिंग्स

डेटाबेस के साथ इंटरैक्ट करने वाले कोड का परीक्षण करते समय, उपयोगकर्ता इनपुट से ठीक से बचकर SQL इंजेक्शन हमलों को रोकना महत्वपूर्ण है। हालाँकि, प्रत्येक परीक्षण के लिए डेटाबेस से जुड़ना अक्षम हो सकता है। क्या सक्रिय डेटाबेस कनेक्शन के बिना स्ट्रिंग्स से बचने का कोई तरीका है?

बिना कनेक्शन के भागने की सीमाएं

दुर्भाग्य से, डेटाबेस कनेक्शन के बिना स्ट्रिंग्स से विश्वसनीय रूप से बचना असंभव है। Mysql_real_escape_string() और तैयार कथन दोनों उपयोग में आने वाले वर्ण सेट के डेटाबेस के ज्ञान पर निर्भर करते हैं। इस जानकारी के बिना, बहु-बाइट वर्ण अनुक्रम तैयार करना संभव है जो भागने वाले तंत्र को बायपास करता है और SQL इंजेक्शन कमजोरियों को जन्म देता है।

परीक्षण के लिए विकल्प

यदि आपका लक्ष्य पूरी तरह से परीक्षण करना है, तो आप ऐसा कर सकते हैं इसकी गति और सरलता के लिए mysql_escape_string() का उपयोग करने पर विचार करें। हालाँकि यह पूरी तरह से सुरक्षित नहीं है, लेकिन परीक्षण वातावरण में इसका उपयोग किए जाने की संभावना नहीं है। हालाँकि, ध्यान दें कि यह उत्पादन कोड के लिए अनुशंसित नहीं है। डेटा अखंडता की गारंटी देने का एकमात्र तरीका डेटाबेस कनेक्शन के साथ उचित एस्केपिंग तकनीकों का उपयोग करना है।