El uso de MySQL addslashes()

Question

Duplicar posibles:
What does mysql_real_escape_string() do that addslashes() doesn't?

Si usted está tratando de evitar la inyección de SQL, la primera cosa que haría es el uso mysql_real_escape_string. ¿Es posible inyectar una base de datos usando addslashes()?

Answer 1

addslashes es el equivalente aproximado de str_replace($str, "'", "\\'"). Puede omitirlo trivialmente con cualquier cantidad de secuencias de unicode que se evalúen hasta ' en mysql, pero se ven completamente diferentes a addslashes().

Mysql_real_escape_String() Por otro lado, utiliza la función de escape mysql interno real, que sabe exactamente qué buscar y reparar para que sea "seguro" para mysql. Lo que funciona para mysql puede no funcionar para otra base de datos, ya que cada uno tiene una semántica y requisitos de escape ligeramente diferentes, pero si está trabajando con mysql, entonces la "cadena de escape real" es el camino a seguir.

Answer 2

Y todavía es posible si se agregan los datos no cotizados a una tabla, es decir

SELECT * FROM tbl WHERE id = 10 

Aquí quiere asegurarse de que esta identificación es exactamente un dígito

$id = intval($_GET[ 'id' ]) ; 
$query = "SELECT * FROM tbl WHERE id = {$id}" ; 
$result = mysql_query($query) ; 
// ... bla-bla 

Answer 3

Esto es lo que sucede cuando solo agrega barras en un lenguaje que entiende codificaciones Unicode (o mezcla codificaciones al enviar la consulta): http://bugs.mysql.com/bug.php?id=22243

Básicamente es más seguro saber qué t La base de datos espera en términos de codificación: de esta forma no terminarás escapando de la mitad del personaje por accidente, o dejando sin protección a la parte posterior de un personaje.