recherche

Maison >base de données >tutoriel mysql >Comment les instructions préparées empêchent-elles les attaques par injection SQL ?

Comment les instructions préparées empêchent-elles les attaques par injection SQL ?

Barbara Streisand
Barbara Streisandoriginal
2025-01-23 20:48:11777parcourir

How Do Prepared Statements Prevent SQL Injection Attacks?

Protection contre l'injection SQL avec des instructions préparées

Les instructions préparées fournissent une défense puissante contre les vulnérabilités d'injection SQL en séparant proprement le code des données fournies par l'utilisateur.

Comprendre la menace d'injection SQL

Les exploits par injection SQL se produisent lorsque des données non fiables sont directement intégrées dans des requêtes SQL. Cette pratique dangereuse brouille les frontières entre code et données, permettant aux attaquants d’injecter des commandes malveillantes. Un exemple simple illustre le risque :

<code class="language-sql">$query = "SELECT * FROM users WHERE id = '" . $_GET['id'] . "'";</code>

Si $_GET['id'] contient 1; DROP TABLE users; --, la requête résultante devient :

<code class="language-sql">SELECT * FROM users WHERE id = '1; DROP TABLE users; --';</code>

Cette entrée malveillante exécute la commande DROP TABLE users, dévastant potentiellement la base de données.

La mécanique des déclarations préparées

Les instructions préparées corrigent cette vulnérabilité en séparant la structure de la requête des données. Le processus comporte deux étapes :

  1. Compilation de requêtes : La base de données reçoit la structure de requête avec des espaces réservés :
<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");</code>

Le ? agit comme un espace réservé pour les données.

  1. Liaison de données : Les données sont ensuite envoyées séparément :
<code class="language-php">$stmt->execute([$id]);</code>

La base de données exécute la requête pré-compilée en utilisant les données fournies. Il est important de noter que les données sont traitées comme des données et non comme du code exécutable, ce qui empêche les attaques par injection.

Implémentation PHP/MySQL

Voici une version sécurisée de l'exemple précédent utilisant des instructions préparées :

<code class="language-php">$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $expectedData); // "i" specifies integer data type
$stmt->execute();</code>

Même si $expectedData contient une entrée malveillante, elle est traitée comme une valeur de données, et non comme du code SQL.

Considérations importantes

Bien que les déclarations préparées soient très efficaces, elles n'offrent pas une protection complète. Ils protègent principalement contre l’injection littérale de données. Si les identifiants (noms de table ou de colonne) sont construits dynamiquement dans la requête, des mesures de sécurité supplémentaires sont cruciales.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

php sql mysql if for while using this column input table database
Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:Comment les instructions préparées protègent-elles contre l’injection SQL ?Article suivant:Comment les instructions préparées protègent-elles contre l’injection SQL ?

Articles Liés

Voir plus