Maison > Article > base de données > Comment les requêtes paramétrées dans PHP protègent-elles contre l'injection SQL ?
Requêtes paramétrées en PHP avec connexion MySQL
Dans le domaine du développement Web, l'injection SQL constitue une menace de sécurité importante. En concoctant des requêtes malveillantes, les attaquants peuvent contourner les mécanismes d'authentification et accéder à des données sensibles. Les requêtes paramétrées offrent une solution infaillible à cette vulnérabilité.
Considérons un extrait de code d'une page de connexion PHP qui ne protège pas contre l'injection SQL :
<code class="php">$userName = $_POST["username"]; $userPass = $_POST["password"]; $query = "SELECT * FROM users WHERE username = '$userName' AND password = '$userPass'"; $result = mysqli_query($dbc, $query); $row = mysqli_fetch_array($result); if (!$row) { echo "No existing user or wrong password."; }</code>
Pour utiliser des requêtes paramétrées, nous devons établir une connexion à la base de données et préparer une instruction paramétrée. Le code suivant fournit un exemple modifié :
<code class="php">$stmt = mysqli_prepare($dbc, "SELECT * FROM users WHERE username = ? AND password = ?"); mysqli_stmt_bind_param($stmt, "s", $userName); mysqli_stmt_bind_param($stmt, "s", $userPass); mysqli_stmt_execute($stmt); $row = mysqli_stmt_fetch($stmt);</code>
Voici une répartition du code :
Dans cette requête paramétrée, les espaces réservés empêchent l'injection d'entrées malveillantes car ils sont remplacés par des valeurs liées. De plus, il est essentiel de chiffrer ou de hacher les mots de passe pour une sécurité renforcée, évitant ainsi le stockage de mots de passe en clair. En adoptant des requêtes paramétrées, les développeurs PHP peuvent protéger efficacement leurs applications Web contre les attaques par injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!