SQLi и mysqli_real_escape_string

C++ JAVA
User avatar
dakata__92
Web-tourist
Web-tourist
Posts: 3351
Joined: Tue Aug 02, 2011 7:24 pm
Answers: 128

Re: SQLi и mysqli_real_escape_string

Post by dakata__92 » Mon Nov 16, 2020 7:52 am

Колеги, търся вариант да подобря и подсигуря работата mysqli_real_escape_string. Преобразувам стринга винаги в енкодинг UTF-8, чарсета на базата също е подаден в UTF-8. Идеята ми е да избегна по-екзотичните заявки от рода на:
"\xbf\x27 OR 1=1 /*"
縗' OR 1=1 /*
С тези примерни атаки се справих, като оправих чарсета на базата. Не бе подаден такъв. Търся минимално влагане на време и ресурс. Предстои пълно пренаписване на системата, въпроса е, че на първо време остана само тази "дупка" за подобряване.

Post Reply