Comment puis-je utiliser en toute sécurité l'extension MySQL en PHP pour éviter les injections SQL et autres pièges ?-tutoriel mysql-php.cn

Maison

base de données

tutoriel mysql

Comment puis-je utiliser en toute sécurité l'extension MySQL en PHP pour éviter les injections SQL et autres pièges ?

Susan Sarandon

Dec 12, 2024 pm 01:27 PM

How Can I Securely Use the MySQL Extension in PHP to Avoid SQL Injection and Other Pitfalls?

Requêtes MySQL sécurisées avec l'extension MySQL

Introduction

Malgré la prévalence du PDO, la famille de fonctions mysql_* reste un choix courant pour l'interaction avec les bases de données PHP. Bien que cette bibliothèque soit parfaitement sûre lorsqu'elle est utilisée correctement, son utilisation entraîne souvent des problèmes de sécurité et techniques. Cet article fournit un exemple de code parfait qui montre comment utiliser l'extension MySQL en toute sécurité.

Éviter les pièges courants

Les fonctions mysql_* sont connues pour plusieurs problèmes courants, notamment :

Injection SQL
Gestion des erreurs problèmes
Injection de scripts intersites (XSS)

Exemple de code

L'exemple de code suivant implémente un script PHP simple qui met à jour un ligne de table de base de données basée sur des variables POST tout en atténuant les risques ci-dessus :

<?php header('Content-type: text/html; charset=utf-8');
error_reporting(E_ALL | E_STRICT);
ini_set('display_errors', 1);

$config = array(
    'host' => '127.0.0.1',
    'user' => 'my_user',
    'pass' => 'my_pass',
    'db' => 'my_database'
);

$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);

if (!$connection) {
    trigger_error('Unable to connect to database: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_select_db($config['db'])) {
    trigger_error('Unable to select db: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_set_charset('utf8')) {
    trigger_error('Unable to set charset for db connection: ' . mysql_error(), E_USER_ERROR);
}

$result = mysql_query(
    'UPDATE tablename SET name = "' . mysql_real_escape_string($_POST['name']) . '" WHERE id = "' . mysql_real_escape_string($_POST['id']) . '"'
);

if ($result) {
    echo htmlentities($_POST['name'], ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}
?>

Clé Caractéristiques

Gestion des erreurs : Les erreurs sont capturées et signalées avec trigger_error(), supprimant les messages d'erreur détaillés en mode production.
SQL prévention des injections : les valeurs POST sont échappées à l'aide de mysql_real_escape_string() pour empêcher l'injection SQL attaques.
Prise en charge d'Unicode : La connexion à la base de données est configurée pour prendre en charge Unicode.
Mode de production : Les messages d'erreur peuvent être supprimés en définissant display_errors sur 0 en production mode.

Conclusion

Cet exemple de code fournit une base solide pour des requêtes MySQL sécurisées utilisant la famille de fonctions mysql_*. Il résout les pièges courants en implémentant une gestion appropriée des erreurs, en empêchant l'injection SQL et en prenant en charge Unicode. En adoptant ces pratiques, les développeurs peuvent écrire des applications basées sur des bases de données sécurisées et fiables.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article connexe

Comment les licences de MySQL se comparent-elles aux autres systèmes de base de données?Apr 25, 2025 am 12:26 AM

MySQL utilise une licence GPL. 1) La licence GPL permet l'utilisation, la modification et la distribution gratuites de MySQL, mais la distribution modifiée doit se conformer à GPL. 2) Les licences commerciales peuvent éviter les modifications publiques et conviennent aux applications commerciales qui nécessitent de la confidentialité.

Quand choisissez-vous InNODB sur Myisam, et vice versa?Apr 25, 2025 am 12:22 AM

Les situations lors du choix d'innodb au lieu de Myisam incluent: 1) le support de transaction, 2) un environnement de concurrence élevé, 3) une cohérence élevée des données; Inversement, la situation où le choix de Myisam comprend: 1) la lecture principalement des opérations, 2) Aucun support de transaction n'est requis. INNODB convient aux applications qui nécessitent une cohérence élevée des données et un traitement des transactions, telles que les plates-formes de commerce électronique, tandis que Myisam convient aux applications en lecture et sans transaction telles que les systèmes de blog.

Expliquez le but des clés étrangères dans MySQL.Apr 25, 2025 am 12:17 AM

Dans MySQL, la fonction des clés étrangères est d'établir la relation entre les tables et d'assurer la cohérence et l'intégrité des données. Les clés étrangères maintiennent l'efficacité des données grâce à des contrôles d'intégrité de référence et aux opérations en cascade. Faites attention à l'optimisation des performances et évitez les erreurs courantes lorsque vous les utilisez.

Quels sont les différents types d'index dans MySQL?Apr 25, 2025 am 12:12 AM

Il existe quatre types d'index principaux dans l'index MySQL: B-Tree, index de hachage, index complet et index spatial. 1.B L'indice de tree est adapté à la requête, au tri et au regroupement des plages, et convient à la création sur la colonne du nom du tableau des employés. 2. L'indice de hachage convient aux requêtes équivalentes et convient à la création sur la colonne ID de la table Hash_Table du moteur de stockage de mémoire. 3. L'index de texte complet est utilisé pour la recherche de texte, adapté à la création sur la colonne de contenu de la table des articles. 4. L'indice spatial est utilisé pour la requête géospatiale, adaptée à la création sur le tableau des colonnes GEOM des emplacements.

Comment créez-vous un index dans MySQL?Apr 25, 2025 am 12:06 AM

TOCREATEANIDEXINMYSQL, USETHECREATEIDEXSTAMENT.1) ForasingLeColumn, utilisez "CreateIndexidx_lastNameOnPloyes (LastName);" 2) ForacompositeIndex, utilisez "CreateIndexidx_NameonEmployes (LastName, FirstName);" 3)

En quoi MySQL diffère-t-il de SQLite?Apr 24, 2025 am 12:12 AM

La principale différence entre MySQL et SQLite est le concept de conception et les scénarios d'utilisation: 1. MySQL convient aux grandes applications et aux solutions de niveau d'entreprise, en soutenant les performances élevées et la concurrence élevée; 2. SQLITE convient aux applications mobiles et aux logiciels de bureau, légers et faciles à intégrer.

Quels sont les index dans MySQL et comment améliorent-ils les performances?Apr 24, 2025 am 12:09 AM

Les index dans MySQL sont une structure ordonnée d'une ou plusieurs colonnes dans une table de base de données, utilisée pour accélérer la récupération de données. 1) Les index améliorent la vitesse de requête en réduisant la quantité de données numérisées. 2) L'indice de B-Tree utilise une structure d'arbre équilibrée, qui convient à la requête et au tri de la plage. 3) Utilisez des instructions CreateIndex pour créer des index, tels que CreateIndexidx_Customer_idonorders (Customer_ID). 4) Les index composites peuvent optimiser les requêtes multi-colonnes, telles que CreateIndexidx_Customer_OrderOnorders (Customer_ID, ORDER_DATE). 5) Utiliser Expliquer pour analyser les plans de requête et éviter

Expliquez comment utiliser les transactions dans MySQL pour assurer la cohérence des données.Apr 24, 2025 am 12:09 AM

L'utilisation de transactions dans MySQL assure la cohérence des données. 1) Démarrez la transaction via StartRansaction, puis exécutez les opérations SQL et soumettez-la avec un engagement ou un rollback. 2) Utilisez SavePoint pour définir un point de sauvegarde pour permettre un retour en arrière partiel. 3) Les suggestions d'optimisation des performances incluent le raccourcissement du temps de transaction, d'éviter les requêtes à grande échelle et d'utiliser raisonnablement les niveaux d'isolement.

See all articles