Comment les instructions préparées et les requêtes paramétrées peuvent-elles empêcher l'injection SQL en PHP ?-tutoriel mysql-php.cn

Maison

base de données

tutoriel mysql

Comment les instructions préparées et les requêtes paramétrées peuvent-elles empêcher l'injection SQL en PHP ?

Patricia Arquette

Jan 25, 2025 pm 10:07 PM

How Can Prepared Statements and Parameterized Queries Prevent SQL Injection in PHP?

Dans le PHP, empêchez SQL d'injecter

Si l'entrée de l'utilisateur n'est pas traitée correctement et l'inserte dans la requête SQL, des vulnérabilités d'injection SQL seront générées. Afin de comprendre ce risque, veuillez considérer l'exemple suivant:

Dans cette scène, si l'utilisateur entre avec malveillance dans la valeur de

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

, la requête deviendra:

value'); DROP TABLE table;--

Cela a ouvert la porte à l'attaque malveillante de la base de données.

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

Soulagez la technologie:

Quelle que soit la base de données utilisée pour empêcher que SQL d'être injecté avec une pratique de sécurité recommandée consiste à séparer les données de SQL. Cela signifie garantir que les données sont considérées comme des données et ne seront jamais interprétées par SQL Parser comme commande. Le moyen le plus efficace d'atteindre cet objectif est d'utiliser des instructions de pré-processus et des requêtes paramétrées.

Instruction pré-procédé et requête de paramétrage:

Les instructions de pré-procédure impliquent l'envoi de requêtes et de paramètres SQL au serveur de base de données, permettant à la base de données de traiter leur combinaison. Cela garantit que les données ne seront pas essayées pour empêcher l'injection de SQL malveillante avant la transmission. Options d'implémentation:

Il existe deux méthodes principales pour atteindre les déclarations de pré-procédé:

PDO (PHP Data Object):

mysqli (extension MySQL améliorée):
```
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute([ 'name' => $name ]);

foreach ($stmt as $row) {
    // 处理行
}
```
Pour la base de données MySQL, vous pouvez utiliser MySQLI. À partir de PHP 8.2, vous pouvez utiliser la méthode

pour les versions PHP 8.1 et ci-dessous:

execute_query()

Si vous utilisez des bases de données autres que MySQL, il y aura des alternatives spécifiques au pilote, telles que

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 处理行
}

de PostgreSQL.

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 表示'字符串'变量类型
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理行
}

Les paramètres de connexion corrects:

Lors de l'établissement d'une connexion, il est important de désactiver la simulation des phrases de pré-traitement pour améliorer les performances et la sécurité. pg_prepare() pg_execute() Connexion PDO:

Connexion mysqli:

Conclusion:

En réalisant correctement les instructions de pré-processus et en réglant correctement les connexions, vous pouvez empêcher efficacement SQL d'injecter des attaques et assurer la sécurité et l'intégrité des applications de base de données.

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article connexe

Quelles sont les procédures stockées dans MySQL?May 01, 2025 am 12:27 AM

Les procédures stockées sont des instructions SQL précompilées dans MySQL pour améliorer les performances et simplifier les opérations complexes. 1. Améliorer les performances: après la première compilation, les appels ultérieurs n'ont pas besoin d'être recompilés. 2. Améliorez la sécurité: restreignez l'accès à la table de données grâce au contrôle de l'autorisation. 3. Simplifier les opérations complexes: combinez plusieurs instructions SQL pour simplifier la logique de la couche d'application.

Comment fonctionne la mise en cache de requête dans MySQL?May 01, 2025 am 12:26 AM

Le principe de travail du cache de requête MySQL consiste à stocker les résultats de la requête sélectionnée, et lorsque la même requête est à nouveau exécutée, les résultats mis en cache sont directement renvoyés. 1) Le cache de requête améliore les performances de lecture de la base de données et trouve des résultats mis en cache grâce aux valeurs de hachage. 2) Configuration simple, définissez query_cache_type et query_cache_size dans le fichier de configuration mysql. 3) Utilisez le mot-clé SQL_NO_CACH pour désactiver le cache de requêtes spécifiques. 4) Dans les environnements de mise à jour à haute fréquence, le cache de requête peut provoquer des goulots d'étranglement des performances et doit être optimisé pour une utilisation par la surveillance et l'ajustement des paramètres.

Quels sont les avantages de l'utilisation de MySQL sur d'autres bases de données relationnelles?May 01, 2025 am 12:18 AM

Les raisons pour lesquelles MySQL sont largement utilisées dans divers projets comprennent: 1. Haute performances et évolutivité, en prenant en charge plusieurs moteurs de stockage; 2. Facile à utiliser et à maintenir, configuration simple et outils riches; 3. Écosystème riche, attirant un grand nombre de supports d'outils communautaires et tiers; 4. Prise en charge multiplateforme, adaptée à plusieurs systèmes d'exploitation.

Comment gérez-vous les mises à niveau de la base de données dans MySQL?Apr 30, 2025 am 12:28 AM

Les étapes de mise à niveau de la base de données MySQL incluent: 1. Sauvegarder la base de données, 2. Arrêtez le service MySQL actuel, 3. Installez la nouvelle version de MySQL, 4. Démarrez la nouvelle version du service MySQL, 5. Récupérez la base de données. Des problèmes de compatibilité sont nécessaires pendant le processus de mise à niveau, et des outils avancés tels que Perconatoolkit peuvent être utilisés pour les tests et l'optimisation.

Quelles sont les différentes stratégies de sauvegarde que vous pouvez utiliser pour MySQL?Apr 30, 2025 am 12:28 AM

Les politiques de sauvegarde MySQL incluent une sauvegarde logique, une sauvegarde physique, une sauvegarde incrémentielle, une sauvegarde basée sur la réplication et une sauvegarde cloud. 1. Logical Backup utilise MySQLDump pour exporter la structure et les données de la base de données, ce qui convient aux petites bases de données et aux migrations de versions. 2. Les sauvegardes physiques sont rapides et complètes en copie les fichiers de données, mais nécessitent la cohérence de la base de données. 3. La sauvegarde incrémentielle utilise la journalisation binaire pour enregistrer les modifications, ce qui convient aux grandes bases de données. 4. La sauvegarde basée sur la réplication réduit l'impact sur le système de production en sauvegarde du serveur. 5. Les sauvegardes cloud telles que Amazonrds fournissent des solutions d'automatisation, mais les coûts et le contrôle doivent être pris en compte. Lors de la sélection d'une politique, de la taille de la base de données, de la tolérance aux temps d'arrêt, du temps de récupération et des objectifs de points de récupération doit être pris en compte.

Qu'est-ce que le regroupement MySQL?Apr 30, 2025 am 12:28 AM

MysqlclusteringenhancesdatabaserobustnessandscalabilityByDistritingDataacRossMultiplenodes.itUsEsthendBenginefordataReplication andfaultToleance, assurant la manière

Comment optimiser la conception du schéma de base de données pour les performances dans MySQL?Apr 30, 2025 am 12:27 AM

L'optimisation de la conception du schéma de la base de données dans MySQL peut améliorer les performances par les étapes suivantes: 1. Optimisation d'index: Créer des index sur les colonnes de requête communes, équilibrant la surcharge de la requête et insertion des mises à jour. 2. Optimisation de la structure du tableau: Réduisez la redondance des données par normalisation ou anti-normalisation et améliorez l'efficacité d'accès. 3. Sélection du type de données: utilisez des types de données appropriés, tels que INT au lieu de Varchar, pour réduire l'espace de stockage. 4. Partionnement et sous-table: Pour les volumes de données importants, utilisez le partitionnement et la sous-table pour disperser les données pour améliorer l'efficacité de la requête et de la maintenance.

Comment pouvez-vous optimiser les performances MySQL?Apr 30, 2025 am 12:26 AM

TOOPTIMIZEMYSQLPERFORMANCE, SuivreTheSestets: 1) Implémentation de PROPERIDEXINGTOSPEEDUPQUERIES, 2) Utiliser la manière dont la gamme ajustée en ligne

See all articles