mysql_real_escape_string要避免的錯誤

儘管mysql_real_escape_string是防止SQL注入的常用方法，但如果使用不當，可能無法防止攻擊。雖然它可以有效地轉義字串值中的特殊字符，但在某些情況下，其有效性可能會受到影響。

正確用法：引用的字串值

mysql_real_escape_string 僅應在以下情況下使用在 SQL 語句中插入用引號引起來的文字內容。例如：

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

不正確的用法

mysql_real_escape_string 的不正確應用可能會導致漏洞。常見錯誤包括：

• 在非引用上下文中使用它（例如，... column_name = $value ...）
• 將其應用於非字串值（例如，數位輸入）
• 在SQL 上下文之外誤用它（例如，$sql = mysql_real_escape_string("... foo = '$value' ..."))

編碼注意事項

另一個陷阱是錯誤配置資料庫連接編碼。正確的方法是：

mysql_set_charset('utf8', $link);

但是，使用mysql_query("SET NAMES 'utf8'", $link) 可能會導致mysql_ API 之間的差異假設的編碼和資料庫的實際編碼。這可能會允許涉及多位元組字串的注入攻擊。

結論

如果按預期使用，mysql_real_escape_string 仍然是一個有價值的工具。然而，認識到其局限性並正確應用它對於防止 SQL 注入漏洞至關重要。建議探索更現代的替代方案，例如準備好的語句以提高安全性和易用性。