PDO プリペアド ステートメントは常に SQL インジェクションを防止しますか?

SQL インジェクションを防ぐには、PDO プリペアド ステートメントで十分ですか?

PDO (PHP データ オブジェクト) プリペアド ステートメントは、SQL から保護するための強力なツールです注射。ただし、この脆弱性を確実に防ぐには、その制限を理解することが重要です。

エミュレートされた Prepares の問題:

デフォルトでは、PDO は MySQL の Prepared Statement をエミュレートします。ただし、このエミュレーションにはセキュリティ上の欠陥があり、熟練した攻撃者が悪用できる可能性があります。この攻撃シナリオでは:

1. サーバーの文字セットは、エスケープされた ' (バックスラッシュ) でエンコードされたマルチバイト文字をサポートするものに設定されています。
2. ペイロードは、次の組み合わせを含むように作成されます。無効なマルチバイト文字です。
3. PDO は内部で MySQL C API 関数を呼び出しますmysql_real_escape_string() を使用してペイロードをエスケープします。これは接続文字セットに従って行われます。
4. ペイロード内の無効なマルチバイト文字は有効な単一バイトとして扱われ、エスケープされない ' 文字が生成されます。
5. このエスケープされた ' 文字は SQL インジェクションを作成するために使用できます

攻撃の防止:

この攻撃を防止するには、PDO 属性 PDO::ATTR_EMULATE_PREPARES を false に設定して、エミュレートされた準備済みステートメントを無効にします。これにより、PDO はより安全な真のプリペアド ステートメントを使用するようになります。

次の方法で攻撃を軽減することもできます。

• 接続エンコードに脆弱性のない文字セットを使用する。 UTF-8.
• NO_BACKSLASH_ESCAPES SQL の有効化mode.

安全な例:

次の例は、PDO プリペアド ステートメントの安全な使用法を示しています。

// Disable emulated prepares and use non-vulnerable character set
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

// Use DSN charset parameter in PHP ≥ 5.3.6
$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

In結論として、SQL インジェクションを防ぐには通常、PDO プリペアを使用するだけで十分ですが、潜在的な可能性を認識して軽減することが重要です。脆弱性。エミュレートされたプリペアド ステートメントの制限を理解し、互換性のある構成を確保することで、アプリケーションを悪意のあるインジェクションから効果的に保護できます。

以上がPDO プリペアド ステートメントは常に SQL インジェクションを防止しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。