Comment les instructions préparées et les requêtes paramétrées peuvent-elles empêcher l'injection SQL en PHP ?

Dans le PHP, empêchez SQL d'injecter

Si l'entrée de l'utilisateur n'est pas traitée correctement et l'inserte dans la requête SQL, des vulnérabilités d'injection SQL seront générées. Afin de comprendre ce risque, veuillez considérer l'exemple suivant:

Dans cette scène, si l'utilisateur entre avec malveillance dans la valeur de

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

, la requête deviendra:

value'); DROP TABLE table;--

Cela a ouvert la porte à l'attaque malveillante de la base de données.

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

Soulagez la technologie:

Quelle que soit la base de données utilisée pour empêcher que SQL d'être injecté avec une pratique de sécurité recommandée consiste à séparer les données de SQL. Cela signifie garantir que les données sont considérées comme des données et ne seront jamais interprétées par SQL Parser comme commande. Le moyen le plus efficace d'atteindre cet objectif est d'utiliser des instructions de pré-processus et des requêtes paramétrées.

Instruction pré-procédé et requête de paramétrage:

Les instructions de pré-procédure impliquent l'envoi de requêtes et de paramètres SQL au serveur de base de données, permettant à la base de données de traiter leur combinaison. Cela garantit que les données ne seront pas essayées pour empêcher l'injection de SQL malveillante avant la transmission. Options d'implémentation:

Il existe deux méthodes principales pour atteindre les déclarations de pré-procédé:

PDO (PHP Data Object):

Il s'agit d'une méthode courante qui convient à tous les pilotes de base de données de prise en charge. Ce qui suit est l'exemple de son utilisation:

1. mysqli (extension MySQL améliorée):

   $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
   $stmt->execute([ 'name' => $name ]);
   
   foreach ($stmt as $row) {
       // 处理行
   }

   Pour la base de données MySQL, vous pouvez utiliser MySQLI. À partir de PHP 8.2, vous pouvez utiliser la méthode
pour préparer, lier les paramètres et exécuter les instructions SQL en une seule étape:

2. pour les versions PHP 8.1 et ci-dessous:

   execute_query()

   Si vous utilisez des bases de données autres que MySQL, il y aura des alternatives spécifiques au pilote, telles que

   $result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

   et

   de PostgreSQL.

   $stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
   $stmt->bind_param('s', $name); // 's' 表示'字符串'变量类型
   $stmt->execute();
   $result = $stmt->get_result();
   while ($row = $result->fetch_assoc()) {
       // 处理行
   }

   Les paramètres de connexion corrects:

Lors de l'établissement d'une connexion, il est important de désactiver la simulation des phrases de pré-traitement pour améliorer les performances et la sécurité. pg_prepare() pg_execute() Connexion PDO:

Connexion mysqli:

Conclusion:

En réalisant correctement les instructions de pré-processus et en réglant correctement les connexions, vous pouvez empêcher efficacement SQL d'injecter des attaques et assurer la sécurité et l'intégrité des applications de base de données.

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!