SQL インジェクションやその他の落とし穴を避けるために、PHP で MySQL 拡張機能を安全に使用するにはどうすればよいですか?-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

SQL インジェクションやその他の落とし穴を避けるために、PHP で MySQL 拡張機能を安全に使用するにはどうすればよいですか?

Susan Sarandon

Dec 12, 2024 pm 01:27 PM

How Can I Securely Use the MySQL Extension in PHP to Avoid SQL Injection and Other Pitfalls?

MySQL 拡張機能を使用した安全な MySQL クエリ

概要

PDO の普及にもかかわらず、 mysql_* ファミリーの関数は、依然として PHP データベースとの対話で一般的な選択肢です。このライブラリは適切に使用すれば完全に安全ですが、使用するとセキュリティや技術的な問題が発生することがよくあります。この記事では、MySQL 拡張機能を安全に使用する方法を示す完璧なコードサンプルを提供します。

よくある落とし穴の回避

mysql_* 関数は、次のようないくつかの一般的な問題があることで有名です。 :

SQL インジェクション
エラー処理問題
クロスサイトスクリプティング (XSS) インジェクション

サンプルコード

次のコードサンプルは、上記の問題を軽減しながら、POST 変数に基づいてデータベーステーブルの行を作成するリスク:

<?php header('Content-type: text/html; charset=utf-8');
error_reporting(E_ALL | E_STRICT);
ini_set('display_errors', 1);

$config = array(
    'host' => '127.0.0.1',
    'user' => 'my_user',
    'pass' => 'my_pass',
    'db' => 'my_database'
);

$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);

if (!$connection) {
    trigger_error('Unable to connect to database: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_select_db($config['db'])) {
    trigger_error('Unable to select db: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_set_charset('utf8')) {
    trigger_error('Unable to set charset for db connection: ' . mysql_error(), E_USER_ERROR);
}

$result = mysql_query(
    'UPDATE tablename SET name = "' . mysql_real_escape_string($_POST['name']) . '" WHERE id = "' . mysql_real_escape_string($_POST['id']) . '"'
);

if ($result) {
    echo htmlentities($_POST['name'], ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}
?>

主な機能

エラー処理: エラーは、trigger_error() でキャプチャおよび報告され、詳細なエラーが抑制されます本番モードのメッセージ。
SQL インジェクションの防止: SQL インジェクション攻撃を防ぐために、POST 値は mysql_real_escape_string() を使用してエスケープされます。
Unicode サポート: データベース接続は Unicode をサポートするように構成されています。
運用モード: 本番環境では、display_errors を 0 に設定することで、エラーメッセージを抑制できます。 mode.

結論

このコードサンプルは、mysql_* ファミリの関数を使用した安全な MySQL クエリの強固な基盤を提供します。適切なエラー処理を実装し、SQL インジェクションを防止し、Unicode をサポートすることで、一般的な落とし穴に対処します。これらのプラクティスを採用することで、開発者は安全で信頼性の高いデータベース駆動型アプリケーションを作成できます。

以上がSQL インジェクションやその他の落とし穴を避けるために、PHP で MySQL 拡張機能を安全に使用するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

MySQL：BLOBおよびその他のNO-SQLストレージ、違いは何ですか？May 13, 2025 am 12:14 AM

mysql'sblobissuitable forstoringbinarydatawithinarationaldatabase、whileenosqloptionslikemongodb、redis、andcassandraofferferulesions forunstructureddata.blobissimplerbutcanslowdowdowd withwithdata

MySQLユーザーの追加：構文、オプション、セキュリティのベストプラクティスMay 13, 2025 am 12:12 AM

toaddauserinmysql、使用：createuser'username '@' host'identifidedby'password '; here'showtodoitsely：1）chosehostcarefilytoconを選択しますTrolaccess.2）setResourcelimitslikemax_queries_per_hour.3）usestrong、uniquasswords.4）endforcessl/tlsconnectionswith

MySQL：文字列データ型の一般的な間違いを回避する方法May 13, 2025 am 12:09 AM

toavoidcommonMonmistakeswithStringDatatypesinmysql、undultingStringTypenuste、choosetherightType、andManageEncodingandCollationsEttingtingive.1）Usecharforfixed-LengthStrings、Varcharforaible Length、AndText/Blobforlardata.2）setCurrectCherts

MySQL：文字列データ型と列挙？May 13, 2025 am 12:05 AM

mysqloffersechar、varchar、Text、anddenumforstringdata.usecharforfixed-lengthstrings、varcharerforvariable-length、text forlarger text、andenumforenforcingdataantegritywithaetofvalues。

MySQL BLOB：BLOBSリクエストを最適化する方法May 13, 2025 am 12:03 AM

MySQLBlob要求の最適化は、次の戦略を通じて実行できます。1。ブロブクエリの頻度を減らす、独立した要求の使用、または読み込みの遅延。 2。適切なブロブタイプ（TinyBlobなど）を選択します。 3。ブロブデータを別々のテーブルに分離します。 4.アプリケーションレイヤーでBLOBデータを圧縮します。 5.ブロブメタデータをインデックスします。これらの方法は、実際のアプリケーションでの監視、キャッシュ、データシェルディングを組み合わせることにより、パフォーマンスを効果的に改善できます。

MySQLにユーザーを追加：完全なチュートリアルMay 12, 2025 am 12:14 AM

MySQLユーザーを追加する方法を習得することは、データベース管理者と開発者にとって重要です。これは、データベースのセキュリティとアクセス制御を保証するためです。 1）CreateUserコマンドを使用して新しいユーザーを作成し、2）付与コマンドを介してアクセス許可を割り当て、3）FlushPrivilegesを使用してアクセス許可を有効にすることを確認します。

MySQL文字列データ型のマスター：Varchar vs. Text vs. CharMay 12, 2025 am 12:12 AM

choosecharforfixed-lengthdata、varcharforvariable-lengthdata、andtextforlargetextfields.1）chariseffienceforconsistent-lengthdatalikecodes.2）varcharsuitsvariaible-lengthdatalikenames、balancingflexibilityandperformance.3）Textisidealforforforforforforforforforforforidex

MySQL：文字列データ型とインデックス：ベストプラクティスMay 12, 2025 am 12:11 AM

MySQLの文字列データ型とインデックスを処理するためのベストプラクティスには、次のものが含まれます。1）固定長のchar、可変長さのvarchar、大規模なテキストのテキストなどの適切な文字列タイプを選択します。 2）インデックス作成に慎重になり、インデックスを避け、一般的なクエリのインデックスを作成します。 3）プレフィックスインデックスとフルテキストインデックスを使用して、長い文字列検索を最適化します。 4）インデックスを定期的に監視および最適化して、インデックスを小さく効率的に保つ。これらの方法により、読み取りと書き込みのパフォーマンスをバランスさせ、データベースの効率を改善できます。

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

AtomエディタMac版ダウンロード

最も人気のあるオープンソースエディター

WebStorm Mac版

便利なJavaScript開発ツール

MinGW - Minimalist GNU for Windows

このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポートライブラリとヘッダーファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。