16

我正在使用 MySQL API 的功能

mysql_real_escape_string()

根据文档,它转义了以下字符:

\0
\n
\r
\
'
"
\Z

现在,我查看了 OWASP.org 的 ESAPI 安全库,在 Python 端口中它有以下代码(http://code.google.com/p/owasp-esapi-python/source/browse/esapi/codecs/mysql. py ):

        """
        Encodes a character for MySQL.
        """
        lookup = {
        0x00 : "\\0",
        0x08 : "\\b",
        0x09 : "\\t",
        0x0a : "\\n",
        0x0d : "\\r",
        0x1a : "\\Z",
        0x22 : '\\"',
        0x25 : "\\%",
        0x27 : "\\'",
        0x5c : "\\\\",
        0x5f : "\\_",
        }

现在,我想知道是否真的需要转义所有这些字符。我明白为什么 % 和 _ 在那里,它们是 LIKE 运算符中的元字符,但我不能简单地理解它们为什么要添加退格和制表符(\b \t)?如果您进行查询,是否存在安全问题:

SELECT a FROM b WHERE c = '...user input ...';

用户输入在哪里包含制表符或退格字符?

我的问题在这里:为什么他们在 ESAPI 安全库中包含 \b \t ?在任何情况下您可能需要转义这些字符?

4

6 回答 6

48

关于退格字符的猜测:想象一下我给你发了一封电子邮件“嗨,这是你想要的更新数据库的查询”和一个附加的文本文件

INSERT INTO students VALUES ("Bobby Tables",12,"abc",3.6);

你 cat 文件,看看没问题,然后将文件通过管道传输到 MySQL。然而,你不知道的是,我把

DROP TABLE students;\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b

在您没有看到的 INSERT STATEMENT 之前,因为在控制台输出上,退格键覆盖了它。呸!

不过,只是猜测。

编辑(无法抗拒):

替代文字

于 2009-07-06T13:34:32.913 回答
18

字符串的MySQL 手册页说:

  • \0   一个 ASCII NUL (0x00) 字符。
  • \'   单引号(“<code>'”)字符。
  • \"   双引号(“<code>”)字符。
  • \b   退格字符。
  • \n   换行符(换行符)。
  • \r   一个回车符。
  • \t   制表符。
  • \Z   ASCII 26 (Control-Z)。见表格后面的注释。
  • \\   反斜杠(“<code>\”)字符。
  • \%   一个“<code>%”字符。见表格后面的注释。
  • \_   “<code>_”字符。见表格后面的注释。
于 2009-07-06T14:14:11.397 回答
4

如果您有任何其他选择,黑名单(识别坏字符)永远不是要走的路。

您需要结合使用白名单,更重要的是,绑定参数方法。

虽然这个特定的答案以 PHP 为重点,但它仍然有很大帮助,并且有助于解释在许多情况下仅通过 char 过滤器运行字符串是行不通的。请,请参阅htmlspecialchars 和 mysql_real_escape_string 是否使我的 PHP 代码免受注入?

于 2009-07-06T14:04:33.860 回答
0

用户输入在哪里包含制表符或退格字符?

一个非常值得注意的事实是,到目前为止,大多数用户确实认为用户输入必须被转义,而这种转义“可以防止注入”。

于 2014-05-01T05:09:16.787 回答
0

Java解决方案:

public static String filter( String s ) {
    StringBuffer buffer = new StringBuffer();
    int i;

    for( byte b : s.getBytes() ) {
        i = (int) b;

        switch( i ) {
            case  9 : buffer.append( "    " ); break;
            case 10 : buffer.append( "\\n"  ); break;
            case 13 : buffer.append( "\\r"  ); break;
            case 34 : buffer.append( "\\\"" ); break;
            case 39 : buffer.append( "\\'"  ); break;
            case 92 : buffer.append( "\\"   );

            if( i > 31 && i < 127 ) buffer.append( new String( new byte[] { b } ) );
        }
    }

    return buffer.toString();
}
于 2017-09-09T09:55:31.533 回答
-2

不能从用户输入中删除单引号吗?

例如:$input =~ s/\'|\"//g;

于 2017-03-13T12:54:08.460 回答