ホームページ >バックエンド開発 >PHPチュートリアル >PDO を使用したプリペアド ステートメントはどのように Web サイトのセキュリティを強化し、SQL インジェクションを防ぐことができますか?
ADOdb での SQL インジェクションと一般的な Web サイトのセキュリティについて
SQL インジェクションは、ユーザー入力が不適切にエンコードされている場合に発生し、Web サイトのセキュリティが侵害される可能性があります。このような攻撃は一般に POST メソッドと GET メソッドに関連付けられていますが、さまざまなシナリオで発生する可能性があります。
SQL インジェクションの例
POST メソッドを使用した提供されたコードを検討してください。
$name = trim($_POST['username']); $mail = trim($_POST['email']); $password = trim($_POST['password ']); if ($errors == "false") { $sql = "INSERT INTO clients SET name='" . mysql_real_escape_string($name) . "', mail='" . mysql_real_escape_string($mail) . "', password='" . mysql_real_escape_string(sha1($password)) . "'"; $connection->execute($sql); }
このコードは、mysql_real_escape_string を使用してユーザー入力をエスケープし、SQL インジェクションを防ぎます。
次に、GET メソッドを使用したコードを考えてみましょう。
$sql = "SELECT videoID FROM likes WHERE videoID = '" .mysql_real_escape_string($videoID). "' AND UID = '" .mysql_real_escape_string($userID). "' LIMIT 1"; $connection->execute($sql);
ここでも、mysql_real_escape_string がエンコードに使用されます。このコードのセキュリティを確保します。
どちらの場合も、mysql_real_escape_string を使用すると、ユーザー入力を適切にエスケープすることで攻撃を防ぎます。ただし、潜在的な脆弱性を軽減するには、非定数入力を常にユーザー入力として扱うことが重要です。
SQL インジェクションの軽減
セキュリティを強化し、SQL インジェクションを防止するには、準備されたステートメントで PDO を使用することをお勧めします。この最新のアプローチにより、ユーザー入力が適切にエンコードされ、潜在的なセキュリティ侵害が排除されます。
以上がPDO を使用したプリペアド ステートメントはどのように Web サイトのセキュリティを強化し、SQL インジェクションを防ぐことができますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。