PHP での SQL インジェクション攻撃の防止
Web アプリケーションでは、ユーザー入力が処理されないと SQL インジェクションなどの脆弱性を引き起こす可能性があります。きちんと。 SQL インジェクションは、ユーザーが指定したデータが適切な検証やサニタイズを行わずに SQL ステートメントに直接組み込まれた場合に発生します。
問題
次の PHP コード スニペットを考えてみましょう:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
ユーザーが value') のような悪意のあるデータを入力した場合。 DROP TABLE table;--、SQL クエリは次のようになります。
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
これにより、悪意のあるユーザーがデータベースからテーブル全体を削除します。
解決策: 準備されたステートメントとパラメータ化
SQL インジェクションを防ぐために推奨される解決策は、準備されたステートメントとパラメータ化されたステートメントを使用して SQL からデータを分離することです。クエリ。これにより、ユーザー入力が実行可能コマンドとしてではなく、データとして扱われることが保証されます。
PDO の使用
PDO は、さまざまなデータベース ドライバーに一貫した汎用インターフェイスを提供します。 PDO でプリペアドステートメントを使用するには:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);
foreach ($stmt as $row) {
// Do something with $row
}
MySQLi の使用
特に MySQL の場合、MySQLi は PHP 8.2 でexecute_query() メソッドを提供します。
$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
// Do something with $row
}
または、以前の PHP バージョンでは8.2:
$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type as string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// Do something with $row
}
他のデータベース ドライバーについては、それぞれのドキュメントを参照してください。
適切な接続セットアップ
真の保護を確保するには、これが重要ですデータベース接続を構成するには正しく:
PDO
エミュレートされた準備済みステートメントを無効にする:
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
MySQLi
エラーを有効にするレポートとキャラクターの設定set:
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4');
説明
準備されたステートメントはデータベース サーバーによって解析およびコンパイルされますが、パラメーターは別個の値として扱われます。これにより、悪意のある入力がコマンドとして解釈されるのを防ぎます。
結論
プリペアド ステートメントとパラメータ化を採用することで、PHP Web アプリケーションを SQL インジェクション攻撃から効果的に保護し、維持することができます。データの整合性。
以上がプリペアド ステートメントは PHP アプリケーションでの SQL インジェクション攻撃をどのように防ぐことができますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
PHPの依存噴射とは何ですか?May 07, 2025 pm 03:09 PM依存関係の依存性、テスト可能性、および維持可能性の依存性の依存性の依存性、および維持可能性は、エクステルンド依存性を維持する可能性があります
最高のPHPパフォーマンス最適化手法May 07, 2025 pm 03:05 PMPHPパフォーマンスの最適化は、次の手順を通じて実現できます。1)スクリプトの上部にrequire_onceまたはinclude_onceを使用して、ファイルの負荷数を減らすことができます。 2)プリプロセシングステートメントとバッチ処理を使用して、データベースクエリの数を減らします。 3)OpCodeキャッシュのOpCacheを構成します。 4)PHP-FPM最適化プロセス管理を有効にして構成します。 5)CDNを使用して静的リソースを配布します。 6)コードパフォーマンス分析には、XdebugまたはBlackfireを使用します。 7)配列などの効率的なデータ構造を選択します。 8)最適化実行のためのモジュラーコードを記述します。
PHPパフォーマンスの最適化:OpCodeキャッシングの使用May 07, 2025 pm 02:49 PMopcodeCachingsificlyprovesppherformanceBycachingCompiledCode、reducingServerloadandResponsetimes.1)itStoresPhpCodeInMemory、バイパス補助補強団体
PHP依存性インジェクション:コードの維持可能性を高めますMay 07, 2025 pm 02:37 PM依存関係注射は、PHPでの外部注入を通じてオブジェクトの依存関係を提供し、コードの保守性と柔軟性を向上させます。その実装方法には、1。コンストラクターインジェクション、2。SET値インジェクション、3。インターフェイスインジェクション。依存関係の注入を使用すると、テスト可能性と柔軟性が向上する可能性がありますが、複雑さとパフォーマンスのオーバーヘッドの増加の可能性に注意を払う必要があります。
PHPに依存関係注入を実装する方法May 07, 2025 pm 02:33 PMPHPでの依存関係注射(DI)の実装は、手動注入またはDIコンテナを使用して実行できます。 1)手動注入は、ロガーを注入するユーザーサービスクラスなど、コンストラクターを介して依存関係を渡します。 2)DIコンテナを使用して、コンテナクラスなどの依存関係を自動的に管理し、ロガーとユーザーサービスを管理します。 DIを実装すると、コードの柔軟性とテスト能力が向上する可能性がありますが、オーバーインジェクションやサービスロケーターアンチモードなどのトラップに注意を払う必要があります。
unset()とsession_destroy()の違いは何ですか?May 04, 2025 am 12:19 AMthedifferencebetferencefued fieneunset()andsession_destroy()isthatunset()clearsspecificsessionvariablesはsessionactiveであり、ssession_destroy()ターミナテンテンセッション
負荷分散のコンテキストでの粘着性セッション(セッションアフィニティ)とは何ですか?May 04, 2025 am 12:16 AMStickysionsionsureuserRequestsoredtotheSameserverforsessiondataconsistency.1)Sessionidedificationisionidificationsisignivisionsignsignsuserstoserversusing okiesorurlmodifications.2)CondingRoutingDirectSSubSubSubsEntRequestStotheSameserver.3)LoadBalancingDistributeNewuser
PHPで利用可能なさまざまなセッション保存ハンドラーは何ですか?May 04, 2025 am 12:14 AMphpoffersvarioussionsionsavehandlers:1)ファイル:デフォルト、simplebutmaybottleneckonhigh-trafficsites.2)memcached:high-performance、yealforspeed-criticalapplications.3)redis:similartomcached、witordededpersistence.4)データベースの提供
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
EditPlus 中国語クラック版
サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません
WebStorm Mac版
便利なJavaScript開発ツール
DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
