निम्नलिखित PHP कोड पर विचार करें: ] $ पासवर्ड = MySQL_REAL_ESCAPE_STRING (getFrompost ('पासवर्ड')); $ sql = "चयन * तालिका से जहां लॉगिन = '$ लॉगिन' और पासवर्ड = '$ पासवर्ड'";

हमला विधि:

$login = mysql_real_escape_string(GetFromPost('login'));
$password = mysql_real_escape_string(GetFromPost('password'));

$sql = "SELECT * FROM table WHERE login='$login' AND password='$password'";

]

काम के सिद्धांत:

] हालांकि

क्लाइंट द्वारा सेट किए गए कनेक्शन एन्कोडिंग के आधार पर बच गया है, कुछ मामलों में यह अमान्य मल्टीबाइट वर्णों को एकल बाइट के रूप में मानता है, जिसमें
1. सेट नाम के बजाय का उपयोग करना शामिल है। mysql_set_charset ()
मामला।
2. के परिणाम स्वरूप:
3. ] उपचार: इस समस्या को कम करने के लिए गैर-वर्धित वर्ण सेट का उपयोग करें, जैसे कि UTF8MB4 या UTF8, इस समस्या को कम करने के लिए। NO_BACKSLASH_ESCAPES SQL मोड सक्षम करें भी सुरक्षा प्रदान करता है।
4. सुरक्षित उदाहरण:
] Mysqli में वास्तविक प्रीप्रोसेसिंग बयान भी इस हमले के लिए प्रतिरक्षा हैं।

निष्कर्ष के तौर पर: