Comment empêcher les attaques par injection SQL à l'aide de formulaires PHP

L'attaque par injection SQL est actuellement un type d'attaque réseau relativement courant. Elle fait référence à la construction d'instructions SQL illégales pour réaliser des opérations illégales sur la base de données, obtenant ainsi des informations sensibles, détruisant des données, etc. Dans les applications PHP, les formulaires sont utilisés comme moyen de saisie de données sur le front-end, et les données saisies dans le formulaire sont susceptibles d'être utilisées comme composant d'une instruction de requête SQL. Par conséquent, la prévention des attaques par injection SQL est cruciale pour la sécurité. de la demande. Cet article explique comment utiliser les formulaires PHP pour empêcher les attaques par injection SQL.

1. Qu'est-ce qu'une attaque par injection SQL ?

L'attaque par injection SQL signifie que l'attaquant trompe le système de base de données en saisissant du code SQL malveillant dans un formulaire Web ou une zone de saisie. d'exécuter des instructions malveillantes. Par conséquent, les attaquants peuvent afficher, modifier et supprimer des données via des attaques par injection SQL, ou adopter des comportements plus malveillants grâce à certaines techniques avancées.

Les attaques par injection SQL sont actuellement répandues dans de nombreuses applications. En effet, de nombreux développeurs ne prennent pas suffisamment en compte les problèmes de sécurité causés par le manque de validation des entrées. Une fois qu'un attaquant découvre une telle vulnérabilité, il peut facilement l'exploiter pour accéder à des informations sensibles, obtenant ainsi des données critiques ou falsifiant la base de données de l'application.

2. Comment utiliser les formulaires PHP pour empêcher les attaques par injection SQL

1. Filtrage dynamique des entrées utilisateur

Éviter utilisation insensée Au lieu d'épissage de chaînes, les données saisies par l'utilisateur doivent être traitées dynamiquement. Habituellement, nous pouvons utiliser des fonctions telles que "mysqli_real_escape_string()" pour nous échapper afin que les données d'entrée ne soient pas exécutées en tant qu'instruction SQL dans la base de données. Cette fonction a de bonnes capacités d'échappement et peut gérer tous les caractères, mais en pratique, elle peut entraîner une certaine perte de performances.

Exemple de code :

$con = mysqli_connect("localhost", "my_user", "my_password", "my_db");# 🎜🎜#if (!$con) {

die("Connection failed: " . mysqli_connect_error());

}

$username = mysqli_real_escape_string($con, $_POST['username']);

$ password = mysqli_real_escape_string($con, $_POST['password']);
$sql = "SELECT * FROM utilisateurs WHERE username='$username' et password='$password'";
$result = mysqli_query($con, $sql);
?>

Utiliser les instructions préparées par PDO

Les instructions préparées par PDO Fournit un moyen plus sécurisé de prévenir les attaques par injection SQL. L'utilisation d'instructions préparées peut empêcher les attaquants de créer des instructions SQL malveillantes en raison d'attaques par injection SQL, garantissant ainsi la sécurité des applications.

Principe des instructions préparées : utilisez des espaces réservés pour remplacer les variables réelles, puis transmettez les paramètres pendant la phase d'exécution. Étant donné que cet espace réservé existant a été spécialement traité, le problème de l'injection SQL peut être évité. PDO fournit la classe PDOStatement, via l'interface de cette classe, le prétraitement SQL peut être effectué. Voici un exemple :

$stmt = $dbh->prepare("SELECT * FROM users WHERE username=:username and password=:password");# 🎜🎜#$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute( );
?> Les instructions SQL augmentent le risque qu'un programme soit attaqué par injection SQL. Par conséquent, n’exécutez pas plusieurs instructions SQL simultanément.

N'exécutez qu'un seul élément à la fois et vérifiez les résultats de l'exécution. Voici un exemple de filtrage de plusieurs instructions :

if (substr_count($_GET['id'], ' ') > 0) { die ("Erreur");

}

?>

Les caractères spéciaux sont interdits

Caractères spéciaux dangereux Les caractères, tels que les guillemets simples, les virgules, les crochets, etc., peuvent être filtrés à l'aide de la fonction de filtre fournie en PHP.

Exemple de code :

$username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);$password = filter_var($_POST['password'], FILTER_SANITIZE_STRING);

?>

Résumé :

À l'ère d'Internet d'aujourd'hui, les attaques par injection SQL sont devenues un réseau Problèmes de sécurité auxquels il faut prêter attention dans le domaine de la sécurité. Par conséquent, pour les applications PHP, notamment celles impliquant des bases de données, il est crucial de bien comprendre et d’utiliser les méthodes décrites ci-dessus pour garantir la sécurité de l’application. Lors du développement d'applications PHP, nous devons toujours garder à l'esprit le risque d'attaques par injection SQL et utiliser correctement les formulaires PHP pour les empêcher, protégeant ainsi la sécurité de l'application.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!