Несколько рекомендаций по экранированию специальных символов в операторах SQL.
Не используйте MySQL , это расширение устарело, используйте MySQLi или PDO .
MySQLi
Для ручного экранирования специальных символов в строке вы можете использовать функцию mysqli_real_escape_string .
Пример:
$mysqli = new mysqli( 'host', 'user', 'password', 'database' );
$mysqli->set_charset( 'charset');
$string = $mysqli->real_escape_string( $string );
$mysqli->query( "INSERT INTO table (column) VALUES ('$string')" );
Для автоматического экранирования значений с помощью подготовленных операторов , используйте mysqli_prepare и mysqli_stmt_bind_param , где для соответствующего преобразования должны быть указаны типы для соответствующих переменных связывания:
Пример:
$stmt = $mysqli->prepare( "INSERT INTO table ( column1, column2 ) VALUES (?,?)" );
$stmt->bind_param( "is", $integer, $string );
$stmt->execute();
Независимо от того, используете ли вы подготовленные операторы или mysqli_real_escape_string, вам всегда нужно знать тип входных данных, с которыми вы работаете.
Итак, если вы используете подготовленный оператор, вы должны указать типы переменных для функции mysqli_stmt_bind_param.
И использование mysqli_real_escape_string для, как сказано в названии, означает экранирование специальных символов в строке, поэтому оно не сделает целые числа безопасными. Цель этой функции - предотвратить разрыв строк в операторах SQL и повреждение базы данных, которое она может вызвать. mysqli_real_escape_string - полезная функция при правильном использовании, особенно в сочетании с sprintf.
Пример:
$string = "x' OR name LIKE '%John%";
$integer = '5 OR id != 0';
$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string( $string ), $integer );
echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 5
$integer = '99999999999999999999';
$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string( $string ), $integer );
echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 2147483647
Если Вы установите LD_PRELOAD
на путь общего объекта, тот файл будет загружен прежде любая другая библиотека (включая время выполнения C, libc.so
). Таким образом для выполнения ls
со специальным предложением malloc()
реализация сделайте это:
$ LD_PRELOAD=/path/to/my/malloc.so /bin/ls
Можно переопределить символы в библиотеках запаса путем создания библиотеки с теми же символами и определения библиотеки в LD_PRELOAD
.
Некоторые люди используют его, чтобы определить, что библиотеки в нестандартных местоположениях, но LD_LIBRARY_PATH
лучше с этой целью.
С LD_PRELOAD
можно дать приоритет библиотек.
, Например, можно записать библиотеку, которые реализуют malloc
и free
. И путем загрузки их LD_PRELOAD
Ваш malloc
и free
будет выполняться, а не стандартные.