PHP-SQL-Escape

PHP und SQL sind beide häufig verwendete Programmiersprachen zur Verarbeitung von Daten in Webanwendungen. Beim Umgang mit Benutzereingabedaten muss auf die Datensicherheit geachtet werden. Weil Benutzer möglicherweise versuchen, bösartigen Code oder SQL-Abfragen einzuschleusen, um auf vertrauliche Informationen zuzugreifen oder diese zu stehlen. Um dies zu verhindern, müssen die eingegebenen Daten maskiert werden, um mögliche Risiken auszuschließen. In diesem Artikel wird das Daten-Escape in PHP und SQL vorgestellt.

1. Daten-Escape in PHP

In PHP gibt es zwei gängige Funktionen, die zum Escapen von Eingabedaten verwendet werden können, nämlich addslashes() und mysqli_real_escape_string(). <code>addslashes()和mysqli_real_escape_string()。

1.1 addslashes()

addslashes()函数可以将字符串中的引号、反斜杠等特殊字符转义，以避免在数据库中引发问题。例如，如果用户试图输入I'm a hacker，这个字符串会导致PHP语法错误，因为它会破坏SQL语句的引号结构。通过使用addslashes()，可以将这个字符串转义为I'm a hacker，使其可以被正确解析。代码如下：

$username = "I'm a hacker";
$username = addslashes($username);

1.2 mysqli_real_escape_string()

mysqli_real_escape_string()函数是通过一个连接相关的函数，可以用于转义SQL语句中的特殊字符。在使用这个函数之前，必须先创建一个到数据库的连接。以下是示例代码：

$conn = mysqli_connect($host, $user, $password, $dbname);
$string = "I'm a hacker";
$string = mysqli_real_escape_string($conn, $string);

使用mysqli_real_escape_string()转义字符串时，总是要将它与创建到数据库的连接关联起来。否则，无法进行转义处理。

2. SQL语句中的数据转义

在SQL语句中，可以通过使用参数化查询来避免注入攻击。使用参数化查询，可以将数据转换为常数，从而避免恶意代码的注入。

2.1 参数化查询

参数化查询是指在SQL语句中使用参数代替实际数据值。这些参数只是在执行语句时被绑定到实际的值。在PHP中，可以使用PDO对象来执行参数化查询，例如：

$pdo = new PDO('mysql:host=localhost;dbname=test', $user, $password);
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->execute(['username' => $username]);

在这个示例中，使用冒号（:）为用户名创建了一个占位符。然后，使用execute()方法将占位符绑定到实际的用户名值上。

2.2 预处理语句

另一种防止SQL注入的方法是使用预处理语句。在这种情况下，SQL查询中的所有变量都被视为参数，并在查询执行之前被转义。在PHP中，可以使用mysqli扩展来执行预处理语句，例如：

$conn = mysqli_connect($host, $user, $password, $dbname);
$stmt = mysqli_prepare($conn, 'SELECT * FROM users WHERE username = ?');
mysqli_stmt_bind_param($stmt, 's', $username);
mysqli_stmt_execute($stmt);

在这个示例中，mysqli_prepare()函数用于准备查询语句，并在执行之前绑定所有参数。使用s参数类型来绑定字符串变量。然后，使用mysqli_stmt_execute()函数来执行查询。

综上所述，数据转义是很重要的，可以防止Web应用程序中的SQL注入攻击。在PHP中，可以使用addslashes()或mysqli_real_escape_string()

1.1 addslashes()🎜🎜addslashes()-Funktion kann Sonderzeichen wie Anführungszeichen und Backslashes in Zeichenfolgen maskieren, um Probleme in der Datenbank zu vermeiden. Wenn der Benutzer beispielsweise versucht, Ich bin ein Hacker einzugeben, verursacht diese Zeichenfolge einen PHP-Syntaxfehler, da sie die Anführungszeichenstruktur der SQL-Anweisung zerstört. Durch die Verwendung von addslashes() kann diese Zeichenfolge mit I'm a hacker maskiert werden, damit sie korrekt analysiert werden kann. Der Code lautet wie folgt: 🎜rrreee🎜1.2 mysqli_real_escape_string()🎜🎜mysqli_real_escape_string() Die Funktion ist eine verbindungsbezogene Funktion, die zum Escapen von Sonderzeichen in SQL verwendet werden kann Aussagen. Vor der Nutzung dieser Funktion muss eine Verbindung zur Datenbank hergestellt werden. Hier ist der Beispielcode: 🎜rrreee🎜Wenn Sie einen String mit mysqli_real_escape_string() maskieren, verknüpfen Sie ihn immer mit dem Herstellen einer Verbindung zur Datenbank. Andernfalls kann die Flucht nicht durchgeführt werden. 🎜

🎜Daten-Escape in SQL-Anweisungen🎜🎜🎜In SQL-Anweisungen können Injektionsangriffe durch die Verwendung parametrisierter Abfragen vermieden werden. Durch parametrisierte Abfragen können Daten in Konstanten umgewandelt werden, wodurch das Einschleusen von Schadcode vermieden wird. 🎜🎜2.1 Parametrisierte Abfrage🎜🎜Parameterisierte Abfrage bezieht sich auf die Verwendung von Parametern in SQL-Anweisungen anstelle tatsächlicher Datenwerte. Diese Parameter werden erst bei Ausführung der Anweisung an tatsächliche Werte gebunden. In PHP können Sie PDO-Objekte verwenden, um parametrisierte Abfragen durchzuführen, zum Beispiel: 🎜rrreee🎜 In diesem Beispiel wird ein Doppelpunkt (:) verwendet, um einen Platzhalter für den Benutzernamen zu erstellen. Verwenden Sie dann die Methode execute(), um den Platzhalter an den tatsächlichen Wert des Benutzernamens zu binden. 🎜🎜2.2 Vorbereitete Anweisungen🎜🎜Eine weitere Möglichkeit, SQL-Injection zu verhindern, ist die Verwendung vorbereiteter Anweisungen. In diesem Fall werden alle Variablen in der SQL-Abfrage als Parameter behandelt und vor der Ausführung der Abfrage maskiert. In PHP können Sie die Erweiterung mysqli verwenden, um vorbereitete Anweisungen auszuführen, wie zum Beispiel: 🎜rrreee🎜 In diesem Beispiel wird die Funktion mysqli_prepare() verwendet, um die Abfrageanweisung vorzubereiten und alle Parameter vor der Ausführung binden. Verwenden Sie den Parametertyp s, um Zeichenfolgenvariablen zu binden. Verwenden Sie dann die Funktion mysqli_stmt_execute(), um die Abfrage auszuführen. 🎜🎜Zusammenfassend lässt sich sagen, dass das Entweichen von Daten wichtig ist, um SQL-Injection-Angriffe in Webanwendungen zu verhindern. In PHP können Sie die Funktion addslashes() oder mysqli_real_escape_string() verwenden, um Zeichenfolgen zu maskieren. In SQL-Anweisungen können Sie parametrisierte Abfragen oder vorbereitete Anweisungen verwenden, um Injektionsangriffe zu verhindern. So oder so können Sie die Sicherheit Ihrer Webanwendungen verbessern. 🎜

Das obige ist der detaillierte Inhalt vonPHP-SQL-Escape. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!