Conseils et mesures pour prévenir les attaques par injection SQL en PHP et CGI

Conseils et mesures pour prévenir les attaques par injection SQL avec PHP et CGI

Avec le développement de la technologie réseau, les applications Web jouent un rôle de plus en plus important dans nos vies. Cependant, les problèmes de sécurité des réseaux qui en découlent sont devenus de plus en plus importants. Parmi elles, l’attaque par injection SQL est la méthode d’attaque la plus courante et la plus destructrice. Cet article abordera les techniques et les mesures permettant de prévenir les attaques par injection SQL en PHP et CGI, et donnera des exemples de code pertinents.

1. Qu'est-ce qu'une attaque par injection SQL ? Une attaque par injection SQL est une méthode d'exploitation des vulnérabilités des applications Web pour insérer du code SQL malveillant dans les données saisies par l'utilisateur, permettant ainsi des opérations et un accès non autorisés à la base de données. De cette manière, un attaquant peut obtenir des données sensibles, modifier le contenu de la base de données ou même l'utiliser pour prendre le contrôle de l'ensemble du système.

2. Conseils et mesures pour prévenir les attaques par injection SQL

Utilisez des instructions précompilées
1. Les instructions précompilées sont une technologie qui lie les données d'entrée à des paramètres spécifiques avant d'exécuter une instruction SQL. Cela garantit que les données saisies seront uniquement traitées comme des paramètres et non exécutées dans le cadre du code SQL. En PHP, vous pouvez utiliser des extensions PDO (PHP Data Objects) ou MySQLi pour implémenter des instructions préparées.
   

Exemple 1 : Utilisation de PDO pour les instructions préparées

// 建立与数据库的连接
$pdo = new PDO("mysql:host=localhost;dbname=database", "user", "password");

// 准备预编译语句
$statement = $pdo->prepare("SELECT * FROM users WHERE username = :username");

// 绑定参数
$statement->bindParam(':username', $username, PDO::PARAM_STR);

// 执行查询
$statement->execute();

// 获取查询结果
$result = $statement->fetchAll(PDO::FETCH_ASSOC);

Utilisation de requêtes paramétrées
2. Les requêtes paramétrées sont une méthode de séparation des instructions SQL et des paramètres, garantissant que les données d'entrée sont traitées comme des données et non comme une partie de code. En CGI, vous pouvez utiliser le module DBI de Perl pour implémenter des requêtes paramétrées.
   

Exemple 2 : Requêtes paramétrées utilisant le module DBI de Perl

use DBI;

# 建立与数据库的连接
my $dbh = DBI->connect("DBI:mysql:database=database;host=localhost", "user", "password");

# 准备参数化查询语句
my $sth = $dbh->prepare("SELECT * FROM users WHERE username = ?");

# 绑定参数
$sth->execute($username);

# 获取查询结果
my $result = $sth->fetchrow_hashref();

Filtrer et valider les entrées utilisateur
3. Les entrées utilisateur doivent être filtrées et validées, en permettant uniquement le passage de types spécifiques de données et en rejetant les entrées contenant des caractères spéciaux. En PHP, vous pouvez utiliser la fonction filter_var() pour le filtrage et la vérification.
   

Exemple 3 : utilisez la fonction filter_var() pour filtrer les entrées de l'utilisateur

// 过滤和验证用户输入
$username = $_POST['username'];

if (!filter_var($username, FILTER_VALIDATE_INT)) {
    echo "Invalid username";
}

// 对用户输入进行SQL查询
$query = "SELECT * FROM users WHERE username = " . $username;
$result = mysqli_query($connection, $query);

Utilisation de la programmation défensive
4. La programmation défensive est une technique qui prédit et prévient d'éventuelles attaques pendant le processus de programmation. Lors de l'écriture du code, envisagez les scénarios d'attaque possibles et prenez les mesures appropriées pour empêcher ces attaques. Par exemple, limiter et valider strictement les saisies, chiffrer et décrypter les données sensibles, éviter d'afficher des messages d'erreur détaillés sur la page, etc.
   

Exemple 4 : Utiliser une programmation défensive pour gérer les entrées de l'utilisateur

# 处理用户输入
username = input("Enter your username: ")

# 验证用户输入是否包含特殊字符
if not username.isalnum():
    print("Invalid username")

# 在SQL查询中使用用户输入
query = "SELECT * FROM users WHERE username = %s" % username
result = cursor.execute(query)

Résumé :

Les attaques par injection SQL sont l'une des attaques les plus courantes et destructrices dans les applications Web. Pour protéger les applications contre de telles attaques, nous pouvons prendre quelques conseils et mesures. Cet article couvre l'utilisation d'instructions préparées, les requêtes paramétrées, le filtrage et la validation des entrées utilisateur et la programmation défensive. Ces technologies peuvent toutes contribuer à protéger la sécurité de nos bases de données et de nos systèmes. Cependant, dans les applications pratiques, nous devons également continuer à prêter attention aux nouvelles vulnérabilités de sécurité et méthodes d’attaque, et constamment mettre à jour et améliorer nos mesures de défense.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!