Comment puis-je écrire des requêtes MySQL sécurisées à l'aide des fonctions mysql

Maison

développement back-end

tutoriel php

Comment puis-je écrire des requêtes MySQL sécurisées à l'aide des fonctions mysql_* ?

Patricia Arquette

Dec 17, 2024 am 09:50 AM

How Can I Write Secure MySQL Queries Using the mysql_* Functions?

Référence : Écriture de code MySQL sécurisé sans PDO

Introduction

Les requêtes MySQL sont souvent en proie à des problèmes avec des failles de sécurité et des erreurs dues à une mauvaise manipulation. Pour résoudre ce problème, il est crucial de comprendre les meilleures pratiques pour écrire du code sécurisé et fiable.

Problèmes de sécurité avec les fonctions MySQL_*

Lors de l'utilisation de la famille de fonctions mysql_* , des problèmes de sécurité courants surviennent :

Injection SQL : Les attaquants peuvent manipuler les requêtes en injecter des instructions SQL malveillantes dans les entrées de l'utilisateur.
Cross-Site Scripting (XSS) : Du JavaScript malveillant peut être exécuté en l'injectant dans les valeurs de sortie.

Exemple d'utilisation

L'exemple de code PHP suivant montre comment effectuer une requête UPDATE sûre et sécurisée en utilisant les fonctions mysql_* :

<?php # Connect and disable mysql error output
$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);

# Select database
mysql_select_db($config['db'], $connection);

# Set character set
mysql_set_charset('utf8', $connection);

# Escape user input
$id = mysql_real_escape_string($_POST['id']);
$name = mysql_real_escape_string($_POST['name']);

# Execute query
$result = mysql_query('UPDATE tablename SET name = "' . $name . '" WHERE id = "' . $id . '"', $connection);

# Handle result
if ($result) {
    echo htmlentities($name, ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}

?>

Fonctionnalités clés

Échappe les entrées de l'utilisateur pour empêcher l'injection SQL.
Encode les valeurs sorties pour atténuer Risques XSS.
Définit le codage des caractères pour gérer Unicode data.
Utilise la gestion des erreurs pour informer l'utilisateur de tout problème en mode production.
Garde le code simple et lisible pour une compréhension facile.

Conclusion

En suivant les bonnes pratiques décrites ci-dessus, vous pouvez écrire des requêtes MySQL sécurisées et efficaces à l'aide de mysql_* fonctions. N'oubliez pas qu'il est crucial de protéger vos applications contre les vulnérabilités de sécurité et de garantir l'intégrité des données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article connexe

Quand utiliseriez-vous un trait par rapport à une classe ou une interface abstraite dans PHP?Apr 10, 2025 am 09:39 AM

En PHP, le trait convient aux situations où la réutilisation de la méthode est requise mais ne convient pas à l'héritage. 1) Le trait permet aux méthodes de multiplexage des classes pour éviter une complexité de succession multiple. 2) Lorsque vous utilisez un trait, vous devez faire attention aux conflits de méthode, qui peuvent être résolus par l'alternative et comme mots clés. 3) La surutilisation du trait doit être évitée et sa responsabilité unique doit être maintenue pour optimiser les performances et améliorer la maintenabilité du code.

Qu'est-ce qu'un conteneur d'injection de dépendance (DIC) et pourquoi en utiliser un en PHP?Apr 10, 2025 am 09:38 AM

Le conteneur d'injection de dépendance (DIC) est un outil qui gère et fournit des dépendances d'objets à utiliser dans les projets PHP. Les principaux avantages du DIC comprennent: 1. Le découplage, rendre les composants indépendants, et le code est facile à entretenir et à tester; 2. Flexibilité, facile à remplacer ou à modifier les dépendances; 3. Testabilité, pratique pour injecter des objets simulés pour les tests unitaires.

Expliquez le SPL SPLFixedArray et ses caractéristiques de performance par rapport aux tableaux PHP ordinaires.Apr 10, 2025 am 09:37 AM

SPLFixedArray est un tableau de taille fixe en PHP, adapté aux scénarios où des performances élevées et une faible utilisation de la mémoire sont nécessaires. 1) Il doit spécifier la taille lors de la création pour éviter les frais généraux causés par un ajustement dynamique. 2) Sur la base du tableau de langue C, fonctionne directement de la mémoire et de la vitesse d'accès rapide. 3) Convient pour le traitement des données à grande échelle et les environnements sensibles à la mémoire, mais il doit être utilisé avec prudence car sa taille est fixe.

Comment PHP gère-t-il les téléchargements de fichiers en toute sécurité?Apr 10, 2025 am 09:37 AM

PHP gère les téléchargements de fichiers via la variable de fichiers $ \ _. Les méthodes pour garantir la sécurité incluent: 1. Vérifiez les erreurs de téléchargement, 2. Vérifiez le type et la taille du fichier, 3. Empêchez l'écrasement des fichiers, 4. Déplacez les fichiers vers un emplacement de stockage permanent.

Qu'est-ce que l'opérateur de coalescence nul (??) et l'opérateur de mission nuls de fusion (?? =)?Apr 10, 2025 am 09:33 AM

Dans JavaScript, vous pouvez utiliser nullcoalescingoperator (??) et nullcoalescingAssIgnmentOperator (?? =). 1.? 2.?? Ces opérateurs simplifient la logique du code, améliorent la lisibilité et les performances.

Qu'est-ce que l'en-tête de la politique de sécurité du contenu (CSP) et pourquoi est-il important?Apr 09, 2025 am 12:10 AM

Le CSP est important car il peut empêcher les attaques XSS et limiter le chargement des ressources, améliorer la sécurité du site Web. 1.CSP fait partie des en-têtes de réponse HTTP, limitant les comportements malveillants grâce à des politiques strictes. 2. L'utilisation de base consiste à permettre le chargement de ressources de la même origine. 3. L'utilisation avancée peut définir des stratégies plus fins, telles que les noms de domaine spécifiques pour charger des scripts et des styles. 4. Utilisez un en-tête de contenu-sécurité-politique-report-seul pour déboguer et optimiser les politiques CSP.

Quelles sont les méthodes de demande HTTP (obtenir, publier, mettre, supprimer, etc.) et quand chacune devrait être utilisée?Apr 09, 2025 am 12:09 AM

Les méthodes de demande HTTP incluent GET, Publier, Put and Delete, qui sont utilisées pour obtenir, soumettre, mettre à jour et supprimer respectivement les ressources respectivement. 1. La méthode GET est utilisée pour obtenir des ressources et convient aux opérations de lecture. 2. La méthode post-post est utilisée pour soumettre des données et est souvent utilisée pour créer de nouvelles ressources. 3. La méthode de put est utilisée pour mettre à jour les ressources et convient aux mises à jour complètes. 4. La méthode de suppression est utilisée pour supprimer les ressources et convient aux opérations de suppression.

Qu'est-ce que HTTPS et pourquoi est-il crucial pour les applications Web?Apr 09, 2025 am 12:08 AM

HTTPS est un protocole qui ajoute une couche de sécurité sur la base de HTTP, qui protège principalement la confidentialité des utilisateurs et la sécurité des données via des données chiffrées. Ses principes de travail comprennent la poignée de main TLS, la vérification du certificat et la communication cryptée. Lors de la mise en œuvre de HTTPS, vous devez prêter attention à la gestion des certificats, à l'impact des performances et aux problèmes de contenu mixte.

See all articles

Outils d'IA chauds

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

Générez AI Hentai gratuitement.

Afficher plus

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)

3 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Meilleurs paramètres graphiques

3 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Solution d'énigmes de coquille

1 Il y a quelques semainesByDDD

R.E.P.O. Comment réparer l'audio si vous n'entendez personne

3 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌

WWE 2K25: Comment déverrouiller tout dans Myrise

3 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌

Afficher plus

Outils chauds

Listes Sec

SecLists est le compagnon ultime du testeur de sécurité. Il s'agit d'une collection de différents types de listes fréquemment utilisées lors des évaluations de sécurité, le tout en un seul endroit. SecLists contribue à rendre les tests de sécurité plus efficaces et productifs en fournissant facilement toutes les listes dont un testeur de sécurité pourrait avoir besoin. Les types de listes incluent les noms d'utilisateur, les mots de passe, les URL, les charges utiles floues, les modèles de données sensibles, les shells Web, etc. Le testeur peut simplement extraire ce référentiel sur une nouvelle machine de test et il aura accès à tous les types de listes dont il a besoin.