Einfaches SQL-Injection-Beispiel
Zum Beispiel hat A eine Bank-Website. Für Bankkunden steht eine Weboberfläche zur Verfügung, über die sie ihre Kontonummern und Guthaben einsehen können. Ihre Bank-Website verwendet URLs wie http://example.com/get_account_details.php?account_id=102, um Details aus der Datenbank abzurufen.
Zum Beispiel sieht der Code für get_account_details.php so aus:
$accountId = $_GET['account_id']; $query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";
Die Kundenkonto-ID wird als Konto_ID über den Abfragestring übergeben. Identisch mit der URL oben, wenn die Konto-ID des Benutzers 102 ist und diese in der Abfragezeichenfolge übergeben wird. Das PHP-Skript erstellt die unten gezeigte Abfrage.
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";
accountId 102 ruft die Kontonummer und die Kontostanddetails ab und stellt sie dem Kunden zur Verfügung.
Verwandte Empfehlungen: „php-Tutorial“
Nehmen wir ein anderes Szenario an, in dem der intelligente Kunde die account_id übergeben hat, genau wie die Abfragezeichenfolge 0 ODER 1=1. Was passiert jetzt? Das PHP-Skript erstellt die unten gezeigte Abfrage und führt sie in der Datenbank aus.
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";
Sehen Sie sich die vom Skript erstellte Abfrage und die von der Datenbank zurückgegebenen Ergebnisse an. Sie können sehen, dass diese Abfrage alle Konten und verfügbaren Salden zurückgibt.
Dies wird als SQL-Injection bezeichnet. Dies ist eine einfache Methode, es gibt jedoch viele Möglichkeiten, eine SQL-Injection durchzuführen. Schauen wir uns an, wie Sie den PHP-MySQLi-Treiber und den PHP-PDO-Treiber verwenden, um SQL-Injection zu verhindern.
Verwendung des PHP-MySQLi-Treibers
Sie können die vorbereiteten Anweisungen des PHP-MySQLi-Treibers verwenden, um diese Art von SQL-Injections zu vermeiden.
PHP-Code zur Verhinderung von SQL-Injection lautet wie folgt:
$accountId = $_GET['account_id'];
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {
$stmt->bind_param("s", $accountId);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something here
}
$stmt->close();
}PHP-PDO-Treiber verwenden
Sie können die Prepare-Anweisung des PHP-PDO-Treibers verwenden, um Vermeiden Sie diese Art von SQL-Injections.
Der PHP-Code zur Lösung des oben genannten SQL-Injection-Problems lautet wie folgt:
$accountId = $_GET['account_id'];
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {
// do something here
}
$stmt->close();
}Das obige ist der detaillierte Inhalt vonSo verhindern Sie die SQL-Injection in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Säure gegen Basisdatenbank: Unterschiede und wann sie jeweils verwendet werden.Mar 26, 2025 pm 04:19 PMDer Artikel vergleicht Säure- und Basisdatenbankmodelle, wobei die Eigenschaften und angemessene Anwendungsfälle beschrieben werden. Säure priorisiert die Datenintegrität und -konsistenz, geeignet für finanzielle und E-Commerce-Anwendungen, während sich die Basis auf die Verfügbarkeit konzentriert und
PHP Secure-Datei-Uploads: Verhindern von Sicherheitslücken im Zusammenhang mit Datei.Mar 26, 2025 pm 04:18 PMIn dem Artikel wird das Sicherung von PHP -Dateien -Uploads erläutert, um Schwachstellen wie die Code -Injektion zu verhindern. Es konzentriert sich auf die Dateitypvalidierung, den sicheren Speicher und die Fehlerbehandlung, um die Anwendungssicherheit zu verbessern.
PHP -Eingabevalidierung: Best Practices.Mar 26, 2025 pm 04:17 PMIn Artikel werden Best Practices für die Validierung der PHP-Eingabe erörtert, um die Sicherheit zu verbessern und sich auf Techniken wie die Verwendung integrierter Funktionen, den Whitelist-Ansatz und die serverseitige Validierung zu konzentrieren.
PHP -API -Rate Begrenzung: Implementierungsstrategien.Mar 26, 2025 pm 04:16 PMIn dem Artikel werden Strategien zur Implementierung der API-Rate in PHP erörtert, einschließlich Algorithmen wie Token-Bucket und Leaky Bucket sowie Bibliotheken wie Symfony/Rate-Limiter. Es deckt auch die Überwachung, die dynamischen Einstellungsgeschwindigkeiten und die Hand ab
PHP -Passwort Hashing: Password_hash und Passage_Verify.Mar 26, 2025 pm 04:15 PMDer Artikel beschreibt die Vorteile der Verwendung von Password_hash und Passage_verify in PHP zum Sichern von Passwörtern. Das Hauptargument besteht
OWASP Top 10 PHP: Beschreiben und mildern gemeinsame Schwachstellen.Mar 26, 2025 pm 04:13 PMIn dem Artikel werden OWASP Top 10 Schwachstellen in PHP- und Minderungsstrategien erörtert. Zu den wichtigsten Problemen gehören die Injektion, die kaputte Authentifizierung und XSS mit empfohlenen Tools zur Überwachung und Sicherung von PHP -Anwendungen.
PHP XSS -Prävention: Wie man vor XSS schützt.Mar 26, 2025 pm 04:12 PMIn dem Artikel werden Strategien erörtert, um XSS-Angriffe in PHP zu verhindern, sich auf die Eingabe von Eingaben, die Ausgabecodierung und die Verwendung von Bibliotheken und Frameworks für Sicherheitsförderungen zu konzentrieren.
PHP -Schnittstelle gegen abstrakte Klasse: Wann verwendet werden.Mar 26, 2025 pm 04:11 PMIn dem Artikel wird die Verwendung von Schnittstellen und abstrakten Klassen in PHP erörtert und konzentriert sich darauf, wann sie jeweils verwendet werden sollen. Schnittstellen definieren einen Vertrag ohne Implementierung, der für nicht verwandte Klassen und multiple Vererbung geeignet ist. Abstrakte Klassen liefern eine gemeinsame Funktion
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.
Heißer Artikel
Heiße Werkzeuge
ZendStudio 13.5.1 Mac
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Herunterladen der Mac-Version des Atom-Editors
Der beliebteste Open-Source-Editor
Dreamweaver CS6
Visuelle Webentwicklungstools
MinGW – Minimalistisches GNU für Windows
Dieses Projekt wird derzeit auf osdn.net/projects/mingw migriert. Sie können uns dort weiterhin folgen. MinGW: Eine native Windows-Portierung der GNU Compiler Collection (GCC), frei verteilbare Importbibliotheken und Header-Dateien zum Erstellen nativer Windows-Anwendungen, einschließlich Erweiterungen der MSVC-Laufzeit zur Unterstützung der C99-Funktionalität. Die gesamte MinGW-Software kann auf 64-Bit-Windows-Plattformen ausgeführt werden.
MantisBT
Mantis ist ein einfach zu implementierendes webbasiertes Tool zur Fehlerverfolgung, das die Fehlerverfolgung von Produkten unterstützen soll. Es erfordert PHP, MySQL und einen Webserver. Schauen Sie sich unsere Demo- und Hosting-Services an.
