在這種情況下可以執行SQL注入嗎？

Question

我一直在忙着使用我的PHP代碼和SQL語句，雖然我知道在處理這個時可以使用預處理語句，但我仍然想知道SQL注入是如何在這裏執行的。

$name = mysql_real_escape_string(htmlspecialchars($_POST["Name"])); 
$age = (int) mysql_real_escape_string(htmlspecialchars($_POST["Age"])); 
$amount = (int) mysql_real_escape_string($_POST["Amount"]); 

$sql = "insert into nice_table set 
        name='{$name}', 
        age='{$age}', 
        amount='{$amount}'"; 


$db->sql_query($sql); 

執行SQL注入的時候，我不知道很多關於各種不同的方法，但我已經看到了東西，通過這個就好了，沒有任何數據庫錯誤。使用它而不是經典的準備語句實際上是否安全？

例如，什麼會通過？我一定錯過了一些東西，因爲它不能這麼簡單，而且仍然像預先準備的陳述一樣緊張，對吧？

Answer 1

mysql_real_escape_string ALONE無法阻止所有類型的SQL注入。

只要你需要逃避，你需要它，儘管「安全」的，而是因爲它是通過SQL語法要求。而在你不需要它的地方，逃跑對你來說無法幫助你。

這個函數的用法很簡單：當你在查詢中使用帶引號的字符串，你必須逃脫它的內容。不是因爲某些虛構的「惡意用戶」，而僅僅是爲了逃避這些用來劃定字符串的引號。這是非常簡單的規則，但是PHP人員卻極其錯誤。

這只是語法相關的功能，而不是安全相關的。

根據這個功能在安全問題，認爲這將「保護您免受惡意的用戶數據庫」將帶領您注射。

的結論，你可以讓自己： 沒有，這個功能是不夠的。

準備好的聲明也不是銀彈。它僅覆蓋了一半可能的情況。見我的famous question for the details

Answer 2

mysql_函數已棄用。 Preffer mysqli或pdo類。

而且AFAIK，可以使用特殊字符避免mysql_real_escape_string。

我願意使用prepared statements和驗證。你可能只需要albusumerics和dot就可以輸入名字。這將有助於太：P

Answer 3

不，你是（）正確使用mysql_real_escape_string，所以這將是安全的。

對於後兩個變量，你也可以做

$age = intval($_POST["Age"]); 
$amount = intval($_POST["Amount"]); 

，這將是一樣安全。 Intval總是返回一個整數（錯誤時爲0），所以不可能包含任何非mysql安全字符。