这是否足以防止使用 MYSQL_QUERY 进行 Mysql 注入

Question

我知道大多数答案会说使用 PDO/Mysqli，但我正在尝试看看我是否可以这样做，然后继续学习 PDO/Mysqli：

这个功能是否足以防止mysql注入？

function anti_inject($sql)
{

    $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"), "", $sql);
    $sql = preg_replace("/[^a-zA-Z0-9]+/", " ", $sql);
    $sql = mysql_real_escape_string($sql);
    $sql = trim($sql);
    $sql = strip_tags($sql);
    $sql = addslashes($sql);
    $sql = strtolower($sql);
    return $sql;
}

为这一行寻找更好的替代品 $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|*|--|\\)/") , "", $sql);

因为我确实想检查具有“来自”“选择”“插入”游戏标签等的名称

我已经禁用了 mysql 用户的 drop table

Answer 1

没有。那是没有希望的。

$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"), "", $sql);

这会无缘无故地丢弃数据

$sql = preg_replace("/[^a-zA-Z0-9]+/", " ", $sql);

这会无缘无故地丢弃数据

$sql = mysql_real_escape_string($sql;

如果您没有丢失)，那么这是转换一条数据以插入 SQL 查询的正确方法。

$sql = trim($sql);

这会无缘无故地丢弃数据

$sql = strip_tags($sql);

这会无缘无故地丢弃数据

$sql = addslashes($sql);

这会以不适合 SQL 查询的方式转义数据。由于您已经使用了 mysql_real_escape_string，因此某些数据将被双重转义（因此被破坏）。

$sql = strtolower($sql);

这会无缘无故地破坏数据。

---

当使用过时的、已弃用的 mysql_ 库时，mysql_real_escape_string 是您应该使用的唯一转义函数。然后，在将 SQL 字符串组合在一起时，您需要获取结果并适当地使用。

不要使用mysql_。使用PDO and parameterised queries。

Answer 2

严格来说，在 SQL 注入保护方面，这个功能非常无用，同时无法使用。虽然它可能在您的某些特定情况下为您服务，但它不能用作通用解决方案。然而，即使在这种情况下，它也是非常多余的。

那么，为什么不使用已经证明对于所有（涵盖的）案例都可以防错的解决方案 - PDO prepared statements？