mysql_real_escape_string で避けるべき間違い

SQL インジェクションを防ぐためによく使用される方法であるにもかかわらず、mysql_real_escape_string は不適切に利用されると攻撃から保護できない可能性があります。 。文字列値内の特殊文字を効率的にエスケープしますが、その有効性が損なわれる特定のシナリオが発生する可能性があります。

正しい使用法: 引用符で囲まれた文字列値

mysql_real_escape_string は、次の場合にのみ使用する必要があります。 SQL ステートメントに引用符で囲まれたテキスト コンテンツを挿入する。例:

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

間違った使用法

mysql_real_escape_string を正しく適用しないと、脆弱性が発生する可能性があります。よくある間違いは次のとおりです。

• 引用符で囲まれていないコンテキストで使用する (例: ... column_name = $value ...)
• 文字列以外の値に適用する (例:数値入力)
• SQL コンテキスト外での誤用 (例: $sql = mysql_real_escape_string("... foo = '$value' ..."))

エンコーディングに関する考慮事項

もう 1 つの落とし穴は、データベース接続エンコーディングの構成を誤っていることです。正しい方法は次のとおりです:

mysql_set_charset('utf8', $link);

ただし、mysql_query("SET NAMES 'utf8'", $link) を使用すると、mysql_API 間に矛盾が生じる可能性があります。想定されるエンコーディングとデータベースの実際のエンコーディング。これにより、マルチバイト文字列を含むインジェクション攻撃が可能になる可能性があります。

結論

mysql_real_escape_string は、意図したとおりに使用すれば、依然として価値のあるツールです。ただし、SQL インジェクションの脆弱性を防ぐには、その制限を認識し、正しく適用することが不可欠です。セキュリティと使いやすさを向上させるために、準備されたステートメントなど、より現代的な代替手段を検討することをお勧めします。