为什么不应该使用mysql_*函数的技术原因是什么?(例如mysql_query()、mysql_connect()或mysql_real_ascape_string())?
为什么我要使用其他东西,即使它们在我的网站上工作?
如果它们在我的网站上不起作用,为什么我会出现这样的错误
警告:mysql_connect():没有这样的文件或目录
为什么不应该使用mysql_*函数的技术原因是什么?(例如mysql_query()、mysql_connect()或mysql_real_ascape_string())?
为什么我要使用其他东西,即使它们在我的网站上工作?
如果它们在我的网站上不起作用,为什么我会出现这样的错误
警告:mysql_connect():没有这样的文件或目录
当前回答
原因有很多,但可能最重要的一点是,这些函数鼓励不安全的编程实践,因为它们不支持准备好的语句。准备好的语句有助于防止SQL注入攻击。
当使用mysql_*函数时,您必须记住通过mysql_real_aescape_string()运行用户提供的参数。如果你只在一个地方忘记了,或者你碰巧只漏掉了部分输入,你的数据库可能会受到攻击。
在PDO或mysqli中使用已准备好的语句将使其更难产生此类编程错误。
其他回答
mysql_函数:
已过时-不再维护不允许您轻松移动到另一个数据库后端不支持准备好的语句,因此鼓励程序员使用串联来构建查询,从而导致SQL注入漏洞
原因有很多,但可能最重要的一点是,这些函数鼓励不安全的编程实践,因为它们不支持准备好的语句。准备好的语句有助于防止SQL注入攻击。
当使用mysql_*函数时,您必须记住通过mysql_real_aescape_string()运行用户提供的参数。如果你只在一个地方忘记了,或者你碰巧只漏掉了部分输入,你的数据库可能会受到攻击。
在PDO或mysqli中使用已准备好的语句将使其更难产生此类编程错误。
MySQL扩展:
未积极开发自PHP 5.5(2013年6月发布)起正式弃用。自PHP 7.0(2015年12月发布)起已完全删除这意味着截至2018年12月31日,它不存在于任何支持的PHP版本中。如果您使用的是支持它的PHP版本,那么您使用的版本不会解决安全问题。缺少OO接口不支持:非阻塞异步查询准备好的语句或参数化查询存储过程多个语句交易“新”密码身份验证方法(默认情况下,在MySQL 5.6中打开;5.7中需要)MySQL 5.1或更高版本中的任何新功能
由于它已被弃用,因此使用它会使您的代码不那么经得起未来考验。
缺少对准备好的语句的支持尤为重要,因为与使用单独的函数调用手动转义外部数据相比,它们提供了一种更清晰、更不易出错的转义和引用外部数据的方法。
请参阅SQL扩展的比较。
因为(除其他原因外)要确保输入数据得到净化要困难得多。如果您使用参数化查询,就像使用PDO或mysqli一样,您可以完全避免风险。
例如,有人可以使用“enhzflep);drop table users”作为用户名。旧的函数将允许每个查询执行多个语句,所以像这种讨厌的bug可以删除整个表。
如果要使用mysqli的PDO,用户名将以“enhzflep);drop table user”结尾。
参见bobby-tables.com。
首先,让我们从我们给每个人的标准评论开始:
请不要在新代码中使用mysql_*函数。它们不再被维护,并被正式弃用。看到红盒子了吗?学习准备好的语句,并使用PDO或MySQLi-本文将帮助您决定使用哪一种。如果你选择PDO,这里有一个很好的教程。
让我们一句一句地来解释一下:
它们不再被维护,并被正式弃用这意味着PHP社区正在逐渐放弃对这些非常古老的函数的支持。它们很可能在未来(最近)版本的PHP中不存在!在不久的将来,继续使用这些函数可能会破坏代码。新!-ext/mysql从PHP 5.5开始正式被弃用!更新!ext/mysql已在PHP7中删除。相反,你应该学习准备好的陈述mysql_*扩展不支持准备好的语句,这是针对SQL注入的一种非常有效的对策。它修复了依赖MySQL的应用程序中的一个非常严重的漏洞,该漏洞允许攻击者访问您的脚本并对您的数据库执行任何可能的查询。有关更多信息,请参阅如何防止PHP中的SQL注入?看到红盒子了吗?当您转到任何mysql函数手册页面时,都会看到一个红色框,说明不应该再使用它。使用PDO或MySQLi有更好、更健壮和构建良好的替代方案,PDO-PHP数据库对象,它为数据库交互提供了完整的OOP方法,以及MySQLi,它是MySQL特有的改进。