转义字符串是一种较旧的(且不太安全)的方法,用于保护要插入查询的数据。它通过使用MySQL的功能工作mysql_real_escape_string()处理和清理数据(换句话说,PHP并未进行转义)。MySQLi API可直接访问此功能
$escaped = $conn->real_escape_string($_GET['var']); // 要么 $escaped = mysqli_real_escape_string($conn, $_GET['var']);
此时,您拥有一个MySQL认为可以在直接查询中安全使用的字符串
$sql = 'SELECT * FROM users WHERE username = "' . $escaped . '"'; $result = $conn->query($sql);
那么,为什么这没有准备好的声明那么安全?有多种方法可以诱骗MySQL生成它认为安全的字符串。考虑下面的例子
$id = mysqli_real_escape_string("1 OR 1=1");
$sql = 'SELECT * FROM table WHERE id = ' . $id;1 OR 1=1不代表MySQL将转义的数据,但这仍然代表SQL注入。还有其他一些示例,它们代表返回不安全数据的位置。问题在于MySQL的转义功能旨在使数据符合SQL语法。并非旨在确保MySQL不会混淆SQL指令的用户数据。