MySQL を使用した PHP のパラメータ化されたクエリは SQL インジェクション攻撃からどのように保護できますか?-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

MySQL を使用した PHP のパラメータ化されたクエリは SQL インジェクション攻撃からどのように保護できますか?

Linda Hamilton

Oct 28, 2024 pm 07:03 PM

How can Parameterized Queries in PHP with MySQL protect against SQL Injection Attacks?

安全な PHP-MySQL 接続のためのパラメータ化されたクエリ

SQL インジェクションは、Web アプリケーションに対する重大なセキュリティ脅威を表します。攻撃者は SQL クエリを操作することで、機密データに不正にアクセスしたり、データベース操作を妨害したりする可能性があります。パラメータ化されたクエリは、この脆弱性を軽減する効果的な対策を提供します。

MySQL を使用して PHP でパラメータ化されたクエリを準備する方法を示すログインページのコードのスニペットです。

<code class="php">$dbc = @mysqli_connect($dbhost, $dbuser, $dbpass, $db); // MySQL connection

$userName = $_POST["username"];
$userPass = $_POST["password"];

$stmt = mysqli_prepare($dbc, "SELECT * FROM users WHERE username = ? AND password = ?");
mysqli_stmt_bind_param($stmt, "s", $userName);
mysqli_stmt_bind_param($stmt, "s", $userPass);
mysqli_stmt_execute($stmt);
$row = mysqli_stmt_fetch($stmt);

if (!$row) {
    echo "No existing user or wrong password.";
}</code>

このコードmysqli_connect を使用して MySQL データベースへの接続を確立し、接続識別子を $dbc に割り当てます。 $userName 変数と $userPass 変数は、ログインページでユーザーが入力したユーザー名とパスワードを受け取ります。

mysqli_prepare 関数は、準備されたステートメントを初期化します。実行される SQL クエリは最初の引数として渡されます。この場合、ユーザー名とパスワードの両方が入力パラメーターに一致するすべての行を users テーブルから取得します。

次に、mysqli_stmt_bind_param を使用してユーザー提供の入力パラメーター $userName と $userPass をバインドします。準備されたステートメント内のプレースホルダー (?)。このコードでは、両方のパラメーターのデータ型が s (文字列) であることを指定しています。

mysqli_stmt_execute 関数は、準備されたステートメントを実行します。

最後に、mysqli_stmt_fetch は結果セットから最初の行を取得し、それを$row 変数。

このコードはパラメータ化されたクエリを使用することで、悪意のある SQL ステートメントが実行できないようにし、SQL インジェクション攻撃から保護します。

セキュリティを強化するには、暗号化することを強くお勧めします。または、ユーザーのパスワードをデータベースに保存する前にハッシュ化します。

以上がMySQL を使用した PHP のパラメータ化されたクエリは SQL インジェクション攻撃からどのように保護できますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

新しいMySQLユーザーに権限を付与する方法May 09, 2025 am 12:16 AM

tograntpermissionstonewmysqlusers、フォローステープ：1）Accessmysqlasauserwithsufthiveerprivileges、2）createanewuser withthecreateusercommand、3）usethegrantcommandtospecifypermissionsionsionsionsionsionsionsionsionsionsionselect、挿入、挿入、挿入、更新、4）

MySQLにユーザーを追加する方法：ステップバイステップガイドMay 09, 2025 am 12:14 AM

toadduusersinmysqucrectivally andcurally、soflowthesteps：1）usethecreateuserstatementtoaddanewuser、指定するhostandastrongpassword.2）補助金を使用して、補助金を使用して、補助すること、

MySQL：複雑な権限を持つ新しいユーザーの追加May 09, 2025 am 12:09 AM

toaddanewuserwithpermissionsinmysql、followthesesteps：1）createtheuserwithcreateuser'newuser '@' localhost'identifiedifiedifiedifiedby'pa ssword ';。2）grantreadacestoalltablesin'mydatabase'withgrantselectonmydatabase.to'newuser'@'localhost';。3）grantwriteaccessto '

MySQL：文字列データ型とコレクションMay 09, 2025 am 12:08 AM

MySQLの文字列データ型には、CHAR、VARCHAR、バイナリ、Varbinary、BLOB、およびテキストが含まれます。照合は、文字列の比較とソートを決定します。 1.Charは固定長の文字列に適しており、Varcharは可変長文字列に適しています。 2.バイナリとVarbinaryはバイナリデータに使用され、BLOBとテキストは大規模なオブジェクトデータに使用されます。 3. UTF8MB4_UNICODE_CIなどのルールのソートは、高度と小文字を無視し、ユーザー名に適しています。 UTF8MB4_BINは症例に敏感であり、正確な比較が必要なフィールドに適しています。

MySQL：Varcharsにはどの長さを使用すればよいですか？May 09, 2025 am 12:06 AM

最適なMySQLVarcharの列の長さの選択は、データ分析に基づいており、将来の成長を検討し、パフォーマンスの影響を評価し、文字セットの要件を評価する必要があります。 1）データを分析して、典型的な長さを決定します。 2）将来の拡張スペースを予約します。 3）パフォーマンスに対する大きな長さの影響に注意してください。 4）ストレージに対する文字セットの影響を考慮します。これらの手順を通じて、データベースの効率とスケーラビリティを最適化できます。

mysql blob：制限はありますか？May 08, 2025 am 12:22 AM

mysqlblobshavelimits：tinyblob（255bytes）、blob（65,535bytes）、mediumblob（16,777,215bytes）、andlongblob（4,294,967,295bytes）.tousebl難易度：1）PROFFORMANCESANDSTORERGEBLOBSEXTERNALLY;

MySQL：ユーザーの作成を自動化するための最良のツールは何ですか？May 08, 2025 am 12:22 AM

MySQLでユーザーの作成を自動化するための最良のツールとテクノロジーには、次のものがあります。1。MySQLWorkBench、中小サイズの環境に適した、使いやすいがリソース消費量が高い。 2。アンシブル、マルチサーバー環境に適した、シンプルだが急な学習曲線。 3.カスタムPythonスクリプト、柔軟性がありますが、スクリプトセキュリティを確保する必要があります。 4。大規模な環境に適した人形とシェフ、複雑ですがスケーラブル。選択する際には、スケール、学習曲線、統合のニーズを考慮する必要があります。

mysql：blob内で検索できますか？May 08, 2025 am 12:20 AM

はい、youcansearchinsideablobinmysqlusingspecifictechniques.1）converttheblobtoautf-8stringwithconvert function andsearchusinglike.2）

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

Safe Exam Browser

Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。