简短的回答是肯定的，是的，有一种方法可以绕过mysql_real_escape_string（）。#For 非常晦涩的边缘情况!!!

长答案并不容易。它基于此处演示的攻击。

攻击

因此，让我们从展示攻击开始...

mysql_query('SET NAMES gbk');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

在某些情况下，这将返回超过 1 行。让我们剖析一下这里发生了什么：

1. 选择字符集

   mysql_query('SET NAMES gbk');
   

   为了使这种攻击起作用，我们需要服务器期望在连接上编码的编码，就像在ASCII中一样编码，即 并有一些字符，其最终字节是ASCII，即.事实证明，默认情况下，MySQL 5.6中支持5种这样的编码：，，，和。我们将在此处选择。'0x27\0x5cbig5cp932gb2312gbksjisgbk

   现在，注意此处的用法非常重要。这将设置服务器上的字符集。如果我们使用对C API函数的调用，我们会很好（在2006年以来的MySQL版本上）。但更多关于为什么在一分钟内...SET NAMESmysql_set_charset()

2. 有效负载

   我们将用于此注入的有效负载从字节序列开始。在 中，这是一个无效的多字节字符;在 中，它是字符串 。请注意，in 和 本身就是一个文字字符。0xbf27gbklatin1¿'latin1gbk0x27'

   我们之所以选择这个有效负载，是因为如果我们调用它，我们会在字符之前插入一个ASCII，即。因此，我们最终会得到 ，这是一个两个字符序列：后跟 .或者换句话说，一个有效的字符后跟一个未转义的 。但是我们没有使用 .因此，进入下一步...addslashes()\0x5c'0xbf5c27gbk0xbf5c0x27'addslashes()

3. mysql_real_escape_string（）

   C API 调用的不同之处在于它知道连接字符集。因此，它可以对服务器期望的字符集正确执行转义。但是，到目前为止，客户端认为我们仍在使用连接，因为我们从未告诉过它。我们确实告诉了我们正在使用的服务器，但客户端仍然认为它是。mysql_real_escape_string()addslashes()latin1gbklatin1

   因此，调用插入反斜杠，我们在“转义”内容中有一个自由悬挂的字符！事实上，如果我们在字符集中查看，我们会看到：mysql_real_escape_string()'$vargbk

   縗' OR 1=1 /*

   这正是攻击所需要的。

4. 查询

   这部分只是一种形式，但下面是呈现的查询：

   SELECT * FROM test WHERE name = '縗' OR 1=1 /*' LIMIT 1
   

恭喜，您刚刚成功攻击了一个程序...mysql_real_escape_string()

坏的

情况变得更糟。 默认为使用 MySQL 模拟预准备语句。这意味着在客户端，它基本上执行sprintf到（在C库中），这意味着以下内容将导致成功注入：PDOmysql_real_escape_string()

$pdo->query('SET NAMES gbk');
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

现在，值得注意的是，您可以通过禁用模拟预准备语句来防止这种情况：

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

这通常会导致真正的预准备语句（即，在与查询分开的数据包中发送的数据）。但是，请注意，PDO将静默地回退到MySQL无法在本机准备的模拟语句：那些可以在手册中列出，但要注意选择适当的服务器版本）。

丑陋

我一开始就说过，如果我们使用而不是.，我们可以防止所有这些。如果您自2006年以来一直使用MySQL版本，情况确实如此。mysql_set_charset('gbk')SET NAMES gbk

如果您使用的是较早的MySQL版本，那么错误意味着无效的多字节字符（例如我们有效负载中的字符）被视为单个字节以进行转义，即使客户端已正确通知连接编码，因此此攻击仍将成功。该错误已在MySQL 4.1.20，5.0.22和5.1.11中修复。mysql_real_escape_string()

但最糟糕的是，直到5.3.6才公开C API，因此在以前的版本中，它无法阻止每个可能的命令的这种攻击！它现在公开为 DSN 参数。PDOmysql_set_charset()

拯救的恩典

正如我们在开始时所说，要使此攻击起作用，必须使用易受攻击的字符集对数据库连接进行编码。utf8mb4不容易受到攻击，但可以支持每个Unicode字符：所以你可以选择使用它 - 但它仅在MySQL 5.5.3之后才可用。另一种方法是utf8，它也不容易受到攻击，可以支持整个Unicode基本多语言平面。

或者，您可以启用 NO_BACKSLASH_ESCAPES SQL 模式，该模式（除其他事项外）会更改 的操作。启用此模式后，将被替换为而不是，因此转义过程无法在以前不存在的任何易受攻击的编码中创建有效字符（即 仍然等）-因此服务器仍将拒绝该字符串为无效。但是，请参阅@eggyal对此 SQL 模式可能产生的不同漏洞的答案。mysql_real_escape_string()0x270x27270x5c270xbf270xbf27

安全示例

以下示例是安全的：

mysql_query('SET NAMES utf8');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

因为服务器期待...utf8

mysql_set_charset('gbk');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

因为我们已正确设置了字符集，因此客户端和服务器匹配。

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->query('SET NAMES gbk');
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

因为我们已关闭模拟预准备语句。

$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

因为我们已经正确设置了字符集。

$mysqli->query('SET NAMES gbk');
$stmt = $mysqli->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$param = "\xbf\x27 OR 1=1 /*";
$stmt->bind_param('s', $param);
$stmt->execute();

因为MySQLi一直在做真实的准备陈述。

结束语

如果您：

• 使用MySQL的现代版本（5.1后期，所有5.5，5.6等）和/ / PDO的DSN字符集参数（PHP ≥5.3.6中）mysql_set_charset()$mysqli->set_charset()

或

• 不要使用易受攻击的字符集进行连接编码（您只使用 / / / 等）utf8latin1ascii

你是100%安全的。

否则，即使您正在使用mysql_real_escape_string（）...，您也容易受到攻击。

请考虑以下查询：

$iId = mysql_real_escape_string("1 OR 1=1");    
$sSql = "SELECT * FROM table WHERE id = $iId";

mysql_real_escape_string()不会保护您免受此影响。在查询中的变量周围使用单引号 （' '） 可以保护您免受这种情况的影响。以下也是一个选项：

$iId = (int)"1 OR 1=1";
$sSql = "SELECT * FROM table WHERE id = $iId";