を使用して、 mysql_real_escape_string（）

の mysql_real_escape_stringのsqlインジェクションをバイパスするために、文字エンコードの問題を使用します。

functionがSQLインジェクションを防止しますが、特定の場合にバイパスされる可能性があります。

$login = mysql_real_escape_string(GetFromPost('login'));
$password = mysql_real_escape_string(GetFromPost('password'));

$sql = "SELECT * FROM table WHERE login='$login' AND password='$password'";

このコードは安全だと思われますが、文字セットのエンコードのエッジケースのために悪用される可能性があります。

攻撃は次の手順に依存します：
セット文字セット：
2. 同じバイトシーケンスが非ASCII文字とASCIIバックスラッシュ（ '\'）の両方を表すエンコーディング（GBK）を選択します。
ペイロードを構築します。
3. call mysql_real_escape_string（）：クライアントは、接続が別の文字セットを使用すると考えています（たとえば、latin1）。引用符の前にバックスラッシュを挿入して、構文的に有効な文字列になります。
4. 送信クエリ：逃げたペイロードはSQLステートメントの一部になり、攻撃者が予想される保護をバイパスできるようにします。

動作原則：

mysql_real_escape_string（）は、クライアントが設定した接続エンコードに基づいて逃げられますが、場合によっては、 set name の代わりにセット名を使用するなど、無効なマルチバイト文字を単一のバイトとして扱います。 mysql_set_charset（）ケース。

の結果として：

この攻撃は、シミュレートされた前処理ステートメントが無効になっている場合でも、PDOのシミュレートされた前処理ステートメントをバイパスできます。

Remedy：

この問題を軽減するには、UTF8MB4やUTF8などの非妨害文字セットを使用します。 no_backslash_escapes sqlモードを有効にすることも保護を提供します。

安全な例：

は、 mysql_set_charset（）またはPDOのDSN文字セットパラメーターを使用して、常に正しく設定されている文字を設定します。 MySqliの実際の前処理ステートメントもこの攻撃の影響を受けません。

結論は：

mysql_real_escape_string（）は通常強力な保護を提供しますが、SQL注入に対する完全な防御を確保するために、このような潜在的なエッジのケースに注意することが重要です。