Maison  >  Article  >  base de données  >  Comment les requêtes paramétrées dans PHP protègent-elles contre l'injection SQL ?

Comment les requêtes paramétrées dans PHP protègent-elles contre l'injection SQL ?

Mary-Kate Olsen
Mary-Kate Olsenoriginal
2024-10-28 06:00:03955parcourir

How do Parameterized Queries in PHP Protect Against SQL Injection?

Requêtes paramétrées en PHP avec connexion MySQL

Dans le domaine du développement Web, l'injection SQL constitue une menace de sécurité importante. En concoctant des requêtes malveillantes, les attaquants peuvent contourner les mécanismes d'authentification et accéder à des données sensibles. Les requêtes paramétrées offrent une solution infaillible à cette vulnérabilité.

Considérons un extrait de code d'une page de connexion PHP qui ne protège pas contre l'injection SQL :

<code class="php">$userName = $_POST["username"];
$userPass = $_POST["password"];

$query = "SELECT * FROM users WHERE username = '$userName' AND password = '$userPass'";

$result = mysqli_query($dbc, $query);
$row = mysqli_fetch_array($result);

if (!$row) {
    echo "No existing user or wrong password.";
}</code>

Pour utiliser des requêtes paramétrées, nous devons établir une connexion à la base de données et préparer une instruction paramétrée. Le code suivant fournit un exemple modifié :

<code class="php">$stmt = mysqli_prepare($dbc, "SELECT * FROM users WHERE username = ? AND password = ?");
mysqli_stmt_bind_param($stmt, "s", $userName);
mysqli_stmt_bind_param($stmt, "s", $userPass);
mysqli_stmt_execute($stmt);
$row = mysqli_stmt_fetch($stmt);</code>

Voici une répartition du code :

  • mysqli_prepare() prépare une instruction paramétrée avec des espaces réservés (?) représentant les paramètres.
  • mysqli_stmt_bind_param() lie les valeurs aux paramètres d'espace réservé.
  • mysqli_stmt_execute() exécute l'instruction paramétrée.
  • mysqli_stmt_fetch() récupère les lignes de résultats.

Dans cette requête paramétrée, les espaces réservés empêchent l'injection d'entrées malveillantes car ils sont remplacés par des valeurs liées. De plus, il est essentiel de chiffrer ou de hacher les mots de passe pour une sécurité renforcée, évitant ainsi le stockage de mots de passe en clair. En adoptant des requêtes paramétrées, les développeurs PHP peuvent protéger efficacement leurs applications Web contre les attaques par injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn