SQL インジェクションを防ぐために PHP 変数を MySQL ステートメントに安全に挿入する方法-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

SQL インジェクションを防ぐために PHP 変数を MySQL ステートメントに安全に挿入する方法

Patricia Arquette

Dec 25, 2024 pm 04:47 PM

How to Safely Insert PHP Variables into MySQL Statements to Prevent SQL Injection?

MySQL ステートメントへの PHP 変数の挿入

MySQL ステートメントに PHP 変数を含める場合、データの整合性を確保し、データの整合性を確保するためのルールを理解することが不可欠です。潜在的なセキュリティ脆弱性。

1.データリテラルにプリペアドステートメントを使用する

内容: SQL データリテラル (文字列または数値) を表すすべての PHP 変数は、プリペアドステートメントを介して含める必要があります。

理由: プリペアドステートメントは、SQL インジェクションを防止することでデータをサニタイズし、保護します。

方法:

SQL クエリ内の変数をプレースホルダーに置き換えます。
クエリを準備します。
変数をプレースホルダーにバインドします。
query.

mysqli の使用例:

$type = 'testing';
$reporter = "John";
$sql = "INSERT INTO contents (type, reporter, description) VALUES ('whatever', ?, ?)";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("ss", $reporter, $description);
$stmt->execute();

PDO の使用方法:

$type = 'testing';
$reporter = "John";
$sql = "INSERT INTO contents (type, reporter, description) VALUES ('whatever', ?, ?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$reporter, $description]);

2.クエリ部分のホワイトリストフィルタリング

内容: 他のクエリ部分 (キーワード、識別子) を表す変数は、許可される値の「ホワイトリスト」を通じてフィルタリングする必要があります。

理由: 悪意のあるユーザーが不正なクエリ部分を挿入したり、キーワード。

方法:

許可される値のリストを作成します。
クエリに変数を含める前にリストと照合します。 .
データベース構文に従って識別子をフォーマットします (例: MySQL).

例:

$orderby = $_GET['orderby'] ?: "name";
$allowed = ["name", "price", "qty"];
$key = array_search($orderby, $allowed, true);
if ($key === false) {
    throw new InvalidArgumentException("Invalid field name");
}
$query = "SELECT * FROM `table` ORDER BY `$orderby` $direction";

以上がSQL インジェクションを防ぐために PHP 変数を MySQL ステートメントに安全に挿入する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

PHPを使用して電子メールを送信する最良の方法は何ですか？May 08, 2025 am 12:21 AM

BestappRoachforseminginphpisusingthephpmailerlibrarydueToitsReliability、featurrichness、andeaseofuse.phpmailerSupportssmtpは、detairederorhandlingを提供します

PHPでの依存関係注射のベストプラクティスMay 08, 2025 am 12:21 AM

依存関係注射（DI）を使用する理由は、コードのゆるい結合、テスト可能性、および保守性を促進するためです。 1）コンストラクターを使用して依存関係を注入します。2）サービスロケーターの使用を避け、3）依存関係噴射コンテナを使用して依存関係を管理する、4）依存関係を注入することでテスト可能性を向上させる、5）注入依存性を回避、6）パフォーマンスに対するDIの影響を考慮します。

PHPパフォーマンスのチューニングのヒントとコツMay 08, 2025 am 12:20 AM

phpperformancetuningisucial cuseenhancess andandandadsand。

PHP電子メールセキュリティ：電子メールを送信するためのベストプラクティスMay 08, 2025 am 12:16 AM

bestpracticesforsendingemails securlyinphpinclude：1）sutureconsmttarttlsencryptionとの使用の使用、2）検証およびサンシジン化のinputStopReventinjectuctacks、3）adinitivedinitivedInemailsopenslsl、4）adlinglinglingemailoaに

パフォーマンスのためにPHPアプリケーションをどのように最適化しますか？May 08, 2025 am 12:08 AM

tooptimizephpapplicationsforporformance、usecaching、databaseoptimization、opcodecaching、andserverconfiguration.1）cachingwithedatedatedatafethtimes.2）最適化バイズビーインデキシング、readedandandandwriteoperations.3）

PHPの依存噴射とは何ですか？May 07, 2025 pm 03:09 PM

依存関係の依存性、テスト可能性、および維持可能性の依存性の依存性の依存性、および維持可能性は、エクステルンド依存性を維持する可能性があります

最高のPHPパフォーマンス最適化手法May 07, 2025 pm 03:05 PM

PHPパフォーマンスの最適化は、次の手順を通じて実現できます。1）スクリプトの上部にrequire_onceまたはinclude_onceを使用して、ファイルの負荷数を減らすことができます。 2）プリプロセシングステートメントとバッチ処理を使用して、データベースクエリの数を減らします。 3）OpCodeキャッシュのOpCacheを構成します。 4）PHP-FPM最適化プロセス管理を有効にして構成します。 5）CDNを使用して静的リソースを配布します。 6）コードパフォーマンス分析には、XdebugまたはBlackfireを使用します。 7）配列などの効率的なデータ構造を選択します。 8）最適化実行のためのモジュラーコードを記述します。