Wie verhindern vorbereitete Anweisungen SQL-Injection-Angriffe?

Schutz vor SQL-Injection mit vorbereiteten Anweisungen

Vorbereitete Anweisungen bieten einen leistungsstarken Schutz gegen SQL-Injection-Schwachstellen, indem sie Code sauber von vom Benutzer bereitgestellten Daten trennen.

Verstehen der SQL-Injection-Bedrohung

SQL-Injection-Exploits treten auf, wenn nicht vertrauenswürdige Daten direkt in SQL-Abfragen eingebettet werden. Diese gefährliche Praxis verwischt die Grenzen zwischen Code und Daten und ermöglicht es Angreifern, bösartige Befehle einzuschleusen. Ein einfaches Beispiel verdeutlicht das Risiko:

<code class="language-sql">$query = "SELECT * FROM users WHERE id = '" . $_GET['id'] . "'";</code>

Wenn $_GET['id'] 1; DROP TABLE users; -- enthält, lautet die resultierende Abfrage:

<code class="language-sql">SELECT * FROM users WHERE id = '1; DROP TABLE users; --';</code>

Diese böswillige Eingabe führt den Befehl DROP TABLE users aus und kann möglicherweise die Datenbank zerstören.

Die Mechanik vorbereiteter Aussagen

Vorbereitete Anweisungen beheben diese Schwachstelle, indem sie die Abfragestruktur von den Daten trennen. Der Prozess umfasst zwei Schritte:

1. Abfragekompilierung: Die Datenbank erhält die Abfragestruktur mit Platzhaltern:

<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");</code>

Das ? fungiert als Platzhalter für die Daten.

2. Datenbindung: Die Daten werden dann separat gesendet:

<code class="language-php">$stmt->execute([$id]);</code>

Die Datenbank führt die vorkompilierte Abfrage mit den bereitgestellten Daten aus. Entscheidend ist, dass die Daten als Daten und nicht als ausführbarer Code behandelt werden, um Injektionsangriffe zu verhindern.

PHP/MySQL-Implementierung

Hier ist eine sichere Version des vorherigen Beispiels mit vorbereiteten Anweisungen:

<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $expectedData); // "i" specifies integer data type
$stmt->execute();</code>

Auch wenn $expectedData schädliche Eingaben enthält, werden diese als Datenwert und nicht als SQL-Code behandelt.

Wichtige Überlegungen

Vorbereitete Aussagen sind zwar sehr effektiv, bieten jedoch keinen vollständigen Schutz. Sie schützen in erster Linie vor der Injektion von Datenliteralen. Wenn Bezeichner (Tabellen- oder Spaltennamen) innerhalb der Abfrage dynamisch konstruiert werden, sind zusätzliche Sicherheitsmaßnahmen von entscheidender Bedeutung.

Das obige ist der detaillierte Inhalt vonWie verhindern vorbereitete Anweisungen SQL-Injection-Angriffe?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!