mysql_real_escape_string（）对十六进制编码数据不安全吗？

Question

我们知道，在php脚本中执行mysql之前，所有的用户输入必须通过mysql_real_escape_string()函数转义。并且知道该功能在用户输入中的任何'或"字符之前插入\。假设以下代码：

$_POST['username'] = 'aidan'; 
$_POST['password'] = "' OR ''='"; 

// Query database to check if there are any matching users 
$query = "SELECT * FROM users WHERE user='".mysql_real_escape_string($_POST['username']."' AND password='".mysql_real_escape_string($_POST['password']."'"; 

mysql_query($query); 

// This means the query sent to MySQL would be: 
echo $query; 

此代码是安全的。

但我发现如果用户以十六进制格式输入她的输入，那么mysql_real_escape_string()不能做任何事情，用户可以轻松地执行她的SQL注入。在波纹管27204f522027273d27是相同' OR ''='但在十六进制格式化，没有问题的SQL执行：

$_POST['username'] = 'aidan'; 
$_POST['password'] = "27204f522027273d27"; 

// Query database to check if there are any matching users 
$query = "SELECT * FROM users WHERE user='".mysql_real_escape_string($_POST['username']."' AND password='".mysql_real_escape_string($_POST['password']."'"; 

mysql_query($query); 

// This means the query sent to MySQL would be: 
echo $query; 

但是，这是否是真实的，如果答案是肯定的我们如何防止SQL注入这样？

Answer 1

如果您使用的是mysql_real_escape_string()，那么使用准备好的语句可能会更好地服务您。

针对您的特殊情况下，试试这个代码：

/* 
Somewhere earlier in your application, you will have to set $dbh 
by connecting to your database using code like: 
$dbh = new PDO('mysql:host=localhost;dbname=test', $DBuser, $DBpass); 
*/ 

$_POST['username'] = 'aidan'; 
$_POST['password'] = "' OR ''='"; 

$user = $_POST['username']; 
$password = $_POST['password']; 

// Query database to check if there are any matching users 
$query = "SELECT * FROM users WHERE user=? AND password=?"; 

$stmt = $dbh->prepare($query); 
$stmt->bindParam(1, $user); 
$stmt->bindParam(2, $password); 
$stmt->execute(); 

这并不需要您使用PDO为你的数据库的交互，但是这是整体一件好事。 Here's a question discussing the differences between PDO and mysqli statements。

另请参阅this StackOverflow question which is remarkably similar to yours和我接受的答案，我从中挖掘了一些答案。