MYSQL注入和md5加密

Question

如果我用md5加密MYSQL注入，它还会执行吗？如果我在执行"mysql_real_escape_string“之前加密MYSQL注入，它会使mysql注入无效吗？我应该在加密之前运行"mysql_real_escape_string“吗？

Answer 1

md5() function返回一个包含ASCII码字符0-9和a-f的字符串。SQL注入需要使用像'或"这样的字符，因此md5()生成的散列字符串永远不会导致SQL注入，因为算法可以正常工作。

因此，您可以不用担心地编写这样的代码：

$username = mysql_real_escape_string( $_POST['username'] );
$password = md5( $_POST['password'] );
mysql_query("SELECT * FROM users WHERE user='$username' AND pass='$password'");

但是，最好总是转义您使用mysql_real_escape_string()传递给查询的数据。

Answer 2

如果您已使用MD5散列值，则它不再包含任何可恶意注入的字符。MySQL不会对MD5散列进行解码并将其解释/执行为SQL。实际上，MD5散列是无法解码的，因为它是单向算法。

Answer 3

MD5散列值是二进制数据，在php中表示为十六进制。这意味着，它们只包含数字0..9和字母A..F. SQL注入不可能包含这些字母，所以您是安全的。