Comment empêcher les attaques par injection SQL à l'aide de PHP

Dans le domaine de la sécurité des réseaux, les attaques par injection SQL sont une méthode d'attaque courante. Il exploite le code malveillant soumis par des utilisateurs malveillants pour modifier le comportement d'une application afin d'effectuer des opérations dangereuses. Les attaques par injection SQL courantes incluent les opérations de requête, les opérations d'insertion et les opérations de suppression. Parmi elles, les opérations de requête sont les plus fréquemment attaquées, et une méthode courante pour empêcher les attaques par injection SQL consiste à utiliser PHP.

PHP est un langage de script côté serveur couramment utilisé, très largement utilisé dans les applications Web. PHP peut interagir avec des bases de données relationnelles telles que MySQL, mais il est également vulnérable aux attaques par injection SQL. Pour prévenir les attaques par injection SQL, vous devez d’abord comprendre les principes des attaques par injection SQL.

Le principe de l'attaque par injection SQL est de provoquer un comportement inattendu et malveillant en modifiant tout ou partie du contenu de l'instruction de requête SQL. Les attaques par injection SQL sont principalement divisées en deux types : « injection d'erreur » et « injection aveugle ». Dans « l'injection d'erreur », l'attaquant amène le serveur à renvoyer une erreur en soumettant des données malveillantes. Lors d'une « injection aveugle », l'attaquant soumettra des données malveillantes pour déterminer si la réponse du serveur répond aux attentes, obtenant ainsi progressivement les données requises.

Ensuite, nous expliquons comment utiliser PHP pour empêcher les attaques par injection SQL.

Étape 1 : Filtrer les entrées utilisateur

Le filtrage des entrées utilisateur est le moyen le plus simple et le plus basique de prévenir les attaques par injection SQL. Le filtrage des entrées détermine leur fiabilité. Le filtrage des entrées utilisateur peut être réalisé à l'aide de fonctions en PHP. La fonction

htmlspecialchars() est une fonction en PHP utilisée pour filtrer les entrées d'un formulaire Web. Cette fonction peut convertir les caractères spéciaux HTML saisis par l'utilisateur (tels que a8093152e673feb7aba1828c43532094&) en entités HTML (telles que a8093152e673feb7aba1828c43532094&). La fonction filter_var() est une fonction en PHP utilisée pour filtrer les entrées de l'utilisateur. Cette fonction peut vérifier si la saisie de l'utilisateur est un entier, s'il s'agit d'un e-mail, etc. De plus, PHP fournit également d'autres fonctions de filtrage, telles que filter_has_var() et filter_input().

Étape 2 : Utilisez PDO au lieu de MySQL

PDO est une couche d'accès aux données en PHP. Il est utilisé pour accéder à de nombreux types de bases de données et fournit certains mécanismes pour empêcher les attaques par injection SQL. Contrairement à MySQLi, PDO est implémenté sur la base d'une approche orientée objet. L'interface PDO peut utiliser explicitement des requêtes paramétrées pour empêcher les attaques par injection SQL. L'un des avantages de l'utilisation de PDO est que ses instructions SQL peuvent être paramétrées en donnant des espaces réservés.

L'exemple de code suivant implémente PDO pour empêcher les attaques par injection SQL :

//连接数据库
$dsn= 'mysql:host=hostname;dbname=databasename;charset=utf8';
$options = array(
   PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,//设置错误模式
   PDO::ATTR_EMULATE_PREPARES => false,//把预处理默认为真
);
try {
   $pdo = new PDO($dsn, $username, $password, $options);
} catch (PDOException $e) {
   print "Error!: " . $e->getMessage() . "<br/>";
   die();
}
//使用PDO进行参数化查询
$stmt = $pdo->prepare('SELECT * FROM user WHERE username = ?');
$stmt->execute(array($_GET['username']));

Étape 3 : Utilisez mysql_real_escape_string()

La fonction mysql_real_escape_string() est l'une des fonctions PHP fournies par MySQL. Il empêche les attaques par injection SQL en échappant aux caractères spéciaux. La fonction mysql_real_escape_string() parcourra la chaîne et échappera les caractères spéciaux tels que ', ", et

dans leurs formes équivalentes sûres. Lorsque vous utilisez la fonction mysql_real_escape_string(), vous devez d'abord établir une connexion avec le serveur et vous connecter.

Enfin, il convient de noter que les attaques par injection SQL sont une méthode très courante d'attaques réseau. Pour éviter les attaques par injection SQL, vous devez toujours être vigilant et prendre des mesures efficaces, telles que le filtrage des entrées utilisateur, en utilisant PDO au lieu de MySQL. et en utilisant la fonction mysql_real_escape_string().

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!