Heim  >  Artikel  >  Backend-Entwicklung  >  So verhindern Sie die SQL-Injection in PHP

So verhindern Sie die SQL-Injection in PHP

不言
不言Original
2019-02-21 09:50:266031Durchsuche

In diesem Artikel erfahren Sie mehr über die SQL-Injection in PHP und erfahren, wie Sie die SQL-Injection mithilfe von PHP-MySQLi- und PHP-PDO-Treibern verhindern können. Schauen wir uns den spezifischen Inhalt unten an.

So verhindern Sie die SQL-Injection in PHP

Einfaches SQL-Injection-Beispiel

Zum Beispiel hat A eine Bank-Website. Für Bankkunden steht eine Weboberfläche zur Verfügung, über die sie ihre Kontonummern und Guthaben einsehen können. Ihre Bank-Website verwendet URLs wie http://example.com/get_account_details.So verhindern Sie die SQL-Injection in PHP?account_id=102, um Details aus der Datenbank abzurufen.

Der Code für get_account_details.So verhindern Sie die SQL-Injection in PHP lautet beispielsweise wie folgt.

$accountId = $_GET['account_id'];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";

Die Kundenkonto-ID wird als Konto-ID über den Abfragestring übergeben. Identisch mit der URL oben, wenn die Konto-ID des Benutzers 102 ist und diese in der Abfragezeichenfolge übergeben wird. Das PHP-Skript erstellt die unten gezeigte Abfrage.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";

accountId 102 ruft die Kontonummer und die Kontostanddetails ab und stellt sie dem Kunden zur Verfügung.

Nehmen wir ein anderes Szenario an, in dem der intelligente Kunde die Konto-ID übergeben hat, genau wie die Abfragezeichenfolge 0 ODER 1=1. Was passiert jetzt? Das PHP-Skript erstellt die unten gezeigte Abfrage und führt sie in der Datenbank aus.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";

Sehen Sie sich die Abfrage an, die aus den vom Skript und der Datenbank zurückgegebenen Ergebnissen erstellt wurde. Sie können sehen, dass diese Abfrage alle Konten und verfügbaren Salden zurückgibt.

Dies wird als SQL-Injection bezeichnet. Dies ist eine einfache Methode, es gibt jedoch viele Möglichkeiten, eine SQL-Injection durchzuführen. Schauen wir uns an, wie Sie den PHP-MySQLi-Treiber und den PHP-PDO-Treiber verwenden, um SQL-Injection zu verhindern.

Verwendung des PHP-MySQLi-Treibers

Sie können die vorbereiteten Anweisungen des PHP-MySQLi-Treibers verwenden, um diese Art von SQL-Injections zu vermeiden.

Der Code für PHP zur Verhinderung von SQL-Injection lautet wie folgt:

$accountId = $_GET['account_id'];
 
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {
  
    $stmt->bind_param("s", $accountId);
 
    $stmt->execute();
 
 $result = $stmt->get_result();
 
 while ($row = $result->fetch_assoc()) {
 // do something here
 }
 
    $stmt->close(); 
}

Verwenden Sie den PHP-PDO-Treiber

Sie können den verwenden Vorbereitungsanweisung des PHP-PDO-Treibers, um diese Art von SQL-Injection zu vermeiden.

Der PHP-Code zur Lösung des oben genannten SQL-Injection-Problems lautet wie folgt:

$accountId = $_GET['account_id'];
 
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {
  
    $stmt->execute(array('name' => $name));
 
 foreach ($stmt as $row) {
 // do something here
 }
 
    $stmt->close(); 
}

Dieser Artikel ist hier zu Ende. Weitere spannende Inhalte finden Sie in anderen verwandten Spalten der chinesischen PHP-Website Anleitung! ! !

Das obige ist der detaillierte Inhalt vonSo verhindern Sie die SQL-Injection in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn