json_encode() 是否可以防止 SQL 注入？ [复制]

Question

我注意到函数 json_encode() 自动在 " 和 ' 值上放置反斜杠。我最初是在将字符串放入数组之前使用mysqli_real_escape_string($con, $value) 来防止 SQL 注入，之后将使用 jSON 对其进行编码。

因为json_encode添加了额外的反斜杠，所以需要使用mysqli_real_escape_string函数？

Answer 1

是的，它仍然是必要的。 json_encode 将反斜杠添加到 JSON 中包含的字符串，但不添加到 JSON 本身的控制元素。

所以，这个：

array( 'key' => 'some "value" here' );

变成：

{"key": "some \"value\" here"}

字符串中仍有未转义的引号（键和值周围的引号。json_encode 并不是为了防止 SQL 注入。它纯粹为 JSON 添加斜线，这样当您稍后, json_decode() 数据，它知道字符串在哪里开始和停止。

正如其他人所说 - 使用准备好的语句。时期。如果您已经在使用 mysqli，那么您没有理由不使用。

Answer 2

如果您使用的是 mysqli，只需使用 Prepared Statements 即可。

Answer 3

json_encode() 和 mysqli_real_escape_string() 都不能防止 SQL 注入。

此外，如果您不在 json 编码值中使用 mysqli_real_escape_string()，您将无法将它们解码回来。

另外，如果您在数据库中存储 json，那么您的数据库结构是错误的。

您正在使用您的数据库的表就是这样的数组。它们旨在将标量值存储在其单元格中。

Answer 4

json_encode 对 XSS 或 SQL 错误生成的保护不足。将对象编码为 JSON 的行为甚至会添加新的引号字符。

…但不要使用mysqli_real_escape_string，使用prepared statements and parameterized queries。

...通常您不应该将 JSON 存储在数据库中。规范化您的数据，以便您可以查询它。