外用单引号危害MySQL注入攻击（mysql单引号注入）

MySQL注入攻击是一种恶意的网络攻击形式，目的是通过在Web表单字段、Cookie和URL参数中注入恶意SQL脚本来操纵Web应用程序的后台数据库，导致系统安全和功能发生破坏。MySQL注入攻击一般是利用用户提供的数据，将SQL指令注入到执行操作的字符串当中，慢慢地构造攻击场景，通常会伴随着用户输入的可执行的SQL脚本。

其中一种危害MySQL注入攻击的方式是外用单引号。外用单引号是一种将字符串和SQL语句分离的作法，可以与变量结合使用，从而减少语句执行所涉及的变量，从而降低SQL注入攻击的风险。但是，由于外用单引号存在转义问题，若不加以控制，也可能导致SQL注入攻击。因此，外用单引号危害较大，应该尽量避免使用。

要避免外用单引号危害MySQL注入攻击，一个办法是使用合理的数据类型。对用户输入的数据，正确的指定类型，便可以限制注入的SQL脚本，同时也具备某种输入范围的限制。例如：

$input=intval($_REQUEST[‘input’]);

$sql=”select * from mytable WHERE id=$input”;

另一个办法是使用参数化查询语句。参数化查询语句可以将查询参数从SQL语句中分离出来，执行更加安全，这可以避免转义字符和外用单引号等危险的攻击技术，事实上，使用参数化查询可以有效地抵御SQL注入攻击。例如：

$input=$_REQUEST[‘input’];

$stmt = $dbh->prepare(“SELECT * FROM mytable WHERE id=?”;

$stmt->bind_param(‘s’,$input);

$stmt->execute();

最后，使用过滤函数也可以限制用户的输入，减少SQL注入攻击的风险，例如addslashes()、htmlspecialchars()等。

总之，外用单引号会降低MySQL注入攻击的安全性，应该尽量避免使用，为确保Web应用程序的安全，应该从数据类型、参数化查询语句和过滤函数等多个方面综合控制，来杜绝SQL注入攻击的发生。