這是否足以防止使用MYSQL_QUERY注入Mysql

Question

我知道大多數答案會說使用PDO/Mysqli，但我試圖看看我是否可以這樣做，然後移動到PDO/Mysqli仍在學習：

這個函數是否足以防止mysql注入？

function anti_inject($sql) 
{ 

    $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"), "", $sql); 
    $sql = preg_replace("/[^a-zA-Z0-9]+/", " ", $sql); 
    $sql = mysql_real_escape_string($sql); 
    $sql = trim($sql); 
    $sql = strip_tags($sql); 
    $sql = addslashes($sql); 
    $sql = strtolower($sql); 
    return $sql; 
} 

尋找此行$ SQL =的preg_replace一個更好的替代（sql_regcase（「/（從|選擇|插入|刪除|地方|刪除表|節目表|＃| * | - | \\ ）/「），」「，$ sql）;

由於我想要「從」檢查具有名稱「中選擇」「插入」標籤遊戲等

我已經停用降表從MySQL用戶

Answer 1

號那是毫無希望的。

$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"), "", $sql); 

該扔掉的數據沒有明顯的原因

$sql = preg_replace("/[^a-zA-Z0-9]+/", " ", $sql); 

該扔掉的數據沒有明顯的原因

$sql = mysql_real_escape_string($sql; 

如果您還沒有失去)，那麼這就是正確的方式來轉換一塊數據插入到SQL查詢中。

$sql = trim($sql); 

該扔掉的數據沒有明顯的原因

$sql = strip_tags($sql); 

該扔掉的數據沒有明顯的原因

$sql = addslashes($sql); 

這在某種程度上不適合SQL查詢逃逸數據。有些數據會被雙重轉義（因此破壞），因爲您已經使用了mysql_real_escape_string。

$sql = strtolower($sql); 

這無意中破壞了數據。

---

在使用過時的，過時mysql_庫，mysql_real_escape_string是你應該使用的唯一避開功能。然後，您需要將結果合併，並在適當的時候使用它們當將您的SQL字符串混合在一起時。

雖然不要使用mysql_。使用PDO and parameterised queries。

Answer 2

嚴格地說，就SQL注入保護而言，這個函數在同一時間是非常無用而且不可用的。雖然它可能在您的某些特定情況下爲您服務，但它不能用作通用解決方案。但即使是這樣的情況，它也是非常多餘的。

那麼，爲什麼不使用已被證明對所有（被覆蓋的）案件都是防錯的解決方案 - PDO prepared statements？