我正在使用MySQL API的功能
mysql_real_escape_string()
根据文档,它转义以下字符:
\0
\
'
"
\Z
现在,我查看了OWASP.org的ESAPI安全库,并在Python端口中包含以下代码(http://code.google.com/p/owasp-esapi-python/source/browse/esapi/codecs/mysql。 py):
"""
Encodes a character for MySQL.
"""
lookup = {
0x00 :"\\0",
0x08 :"\\b",
0x09 :"\\t",
0x0a :"\
",
0x0d :"\
",
0x1a :"\\Z",
0x22 : '\"',
0x25 :"\\%",
0x27 :"\'",
0x5c :"\\\",
0x5f :"\\_",
}
现在,我想知道是否真的需要转义所有这些字符。 我知道为什么%和_在那里,它们在LIKE运算符中是元字符,但我不能简单地理解为什么它们添加退格和制表符( b t)? 如果执行查询,是否存在安全问题:
SELECT a FROM b WHERE c = '...user input ...';
用户输入中包含制表符或退格字符的地方?
我的问题在这里:为什么它们在ESAPI安全库中包含 b t? 在任何情况下,您可能需要转义那些字符?
我不是python或MySql的人,但我的第一步虽然是为此寻找单元测试,但不幸的是,他们没有透露任何有用的信息-code.google.com/p/owasp-esapi-python/source/browse/esapi/ 测试/
关于退格字符的猜测:想象一下,我给您发送了一封电子邮件"嗨,这是您想要更新数据库的查询",以及一个附带的文本文件,其中包含
INSERT INTO students VALUES ("Bobby Tables",12,"abc",3.6);
您对文件进行分类,就可以了,然后将文件通过管道传输到MySQL。但是,您不知道的是,我把
DROP TABLE students;\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b
在您未看到的INSERT STATEMENT之前,因为在控制台输出上,退格键覆盖了它。 mm!
不过,只是一个猜测。
编辑(无法拒绝):
+1是我最喜欢的XKCD漫画的参考
原始xkcd.com/327中不是这样的
感谢Stefano,它满足了CC许可的归属条款。
MySQL手册中的字符串说明:
\0 ASCII NUL(0x00)字符。
\'单引号(" '")字符。
\"双引号(" "")字符。
\b退格字符。
换行符(换行符)。
回车符。
\t制表符。
\Z ASCII 26(Control-Z)。请参阅表格后面的注释。
\\反斜杠(" \")字符。
\%" %"字符。请参阅表格后面的注释。
\_" _"字符。请参阅表格后面的注释。
链接死了。 考虑更新。
仅供参考,链接正常。
这没有回答问题的一部分,询问"为什么?"
请记住,您可能不希望总是转义%和_,因为除非在过滤器/搜索上下文中使用反斜杠,否则反斜杠将按字面传递,例如 使用=时\%看起来像字符串\%,使用like时看起来%
如果您有其他选择,将黑名单(识别坏字符)绝不会走。
您需要结合使用白名单,更重要的是,使用绑定参数方法。
尽管这个特定的答案以PHP为重点,但它仍然可以提供很多帮助,并且将有助于说明仅在char过滤器中运行字符串在许多情况下不起作用。请,请参阅htmlspecialchars和mysql_real_escape_string可以防止我的PHP代码被注入吗?
Java解决方案:
public static String filter( String s ) {
StringBuffer buffer = new StringBuffer();
int i;
for( byte b : s.getBytes() ) {
i = (int) b;
switch( i ) {
case 9 : buffer.append(" " ); break;
case 10 : buffer.append("\
" ); break;
case 13 : buffer.append("\
" ); break;
case 34 : buffer.append("\\"" ); break;
case 39 : buffer.append("\'" ); break;
case 92 : buffer.append("\" );
if( i > 31 && i < 127 ) buffer.append( new String( new byte[] { b } ) );
}
}
return buffer.toString();
}
实际的问题不是关于" Java"的(请参见标签)...
Where user input contains tabulators or backspace characters?
到今天为止,大多数用户确实认为必须逃避用户的输入,并且这样的转义"防止注入"是非常值得注意的事实。
不能只是从用户输入中删除单引号吗?
例如:$input =~ s/\'|\"//g;
不知道那是一个好主意
如果您尝试存储姓名(例如OLeary),则会弄乱这些人的姓名。 如果您存储"Help!", David yelled.之类的句子,则需要保留双引号。 是的,在某些情况下,转储特殊字符可能会很好,但并非全部。