検索
ホームページバックエンド開発PHPチュートリアルSQLインジェクションとは何ですか?そしてそれを防ぐ方法

SQLインジェクションとは何ですか?そしてそれを防ぐ方法

Barbara Streisand
Barbara Streisand
Dec 31, 2024 pm 05:28 PM

SQL Injection คืออะไร? และวิธีการป้องกัน

SQLインジェクション

これは、データベース管理言語として SQL (Structured Query Language) を使用するデータベース システムで一般的なセキュリティ攻撃です。この攻撃は、攻撃者が悪意のある SQL コードをフォーム フィールドや URL などのユーザー入力フィールドに挿入して、データベース内のデータに不正にアクセスしたり、データを変更したりするときに発生します。

SQL インジェクションは、Open Web Application Security Project (OWASP) による Web アプリケーションの最も一般的かつ重要なセキュリティ脆弱性のリストである 2021 OWASP Top 10 で 3 位にランクされています。これは毎回更新されます。変化するサイバー脅威を反映するために数年にわたり

SQL Injection คืออะไร? และวิธีการป้องกัน

SQL インジェクション攻撃は第 3 位の脅威としてランク付けされており、Web アプリケーションのセキュリティの観点からこの問題の重要性と蔓延を示しています。インジェクション攻撃に適切に対処することは、情報システムを保護し、望ましくないアクセスを防ぐために不可欠です

SQLインジェクションを攻撃する方法

SQL インジェクション攻撃はさまざまな方法で実行できますが、最も一般的な方法は次の 2 つです。

  • 入力フィールドに値を直接挿入する
  • SQL ステートメントを追加するための URL の編集

SQL インジェクション攻撃の例

PHP コードを使用して、ユーザーがログインできる Web アプリケーションがあるとします

<?php $username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($conn, $query);

if (mysqli_num_rows($result) > 0) {
    echo "Login successful!";
} else {
    echo "Invalid username or password.";
}
?>

ユーザー値を SQL ステートメントに直接挿入すると SQL インジェクションが発生する可能性があるため、このコードは脆弱です

SQL インジェクション攻撃

ハッカーはこのようなフィールドに悪意のある値を挿入する可能性があります

  • ユーザー名フィールド ' OR '1'='1
  • パスワードフィールド ' OR '1'='1

これにより、SQL ステートメントは次のようになります

SELECT * FROM users WHERE username='' OR '1'='1' AND password='' OR '1'='1'

「1」=「1」は常に真となる条件だからです。このコマンドは、データベース内のすべてのユーザーの情報を返します。これにより、ハッカーは実際のパスワードを使用せずにログインできます

SQLインジェクションを防ぐ方法

SQL インジェクションを防ぐ方法はいくつかあります。

  • プリペアドステートメントの使用
  • ストアド プロシージャの使用
  • 入力データのフィルタリングと検証。 ## PHP でのプリペアド ステートメントの使用例 
<?php $stmt = $conn->prepare("SELECT * FROM users WHERE username=? AND password=?");
$stmt->bind_param("ss", $username, $password);

$username = $_POST['username'];
$password = $_POST['password'];

$stmt->execute();
$result = $stmt->get_result();

if ($result->num_rows > 0) {
    echo "Login successful!";
} else {
    echo "Invalid username or password.";
}
?>

この例では、SQL ステートメントが事前に準備されており、$username と $password の値は後からステートメントに挿入されます。これにより、悪意のある SQL コードの挿入が不可能になります

要約する

SQL インジェクションは深刻な脅威です。ただし、これは、プリペアド ステートメントの使用や入力の検証など、安全なコードを作成することで防ぐことができます。優れた保護は、データを安全に保つだけではありません。しかし、それはシステムの信頼性を維持するのにも役立ちます。

以上がSQLインジェクションとは何ですか?そしてそれを防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
関連記事
PHPコードの最適化:メモリの使用と実行時間の短縮PHPコードの最適化:メモリの使用と実行時間の短縮May 10, 2025 am 12:04 AM

TooptimizePHPcodeforreducedmemoryusageandexecutiontime,followthesesteps:1)Usereferencesinsteadofcopyinglargedatastructurestoreducememoryconsumption.2)LeveragePHP'sbuilt-infunctionslikearray_mapforfasterexecution.3)Implementcachingmechanisms,suchasAPC

PHPメール:ステップバイステップ送信ガイドPHPメール:ステップバイステップ送信ガイドMay 09, 2025 am 12:14 AM

PhpisusedForsedingEmailsDueToitsIttegration withServerMailServicesAndExternalSmtpproviders、自動化とMarketingCampaign.1)SetupYourphpenvironment withebeBironment witheBiserverandphp、保証

PHP経由で電子メールを送信する方法:例とコードPHP経由で電子メールを送信する方法:例とコードMay 09, 2025 am 12:13 AM

メールを送信する最良の方法は、PHPMailerライブラリを使用することです。 1)Mail()関数を使用することはシンプルですが信頼できないため、電子メールがスパムを入力するか、配信できない場合があります。 2)PHPMailerは、より良い制御と信頼性を提供し、HTMLメール、添付ファイル、SMTP認証をサポートします。 3)SMTP設定が正しく構成されていることを確認し、暗号化(StartTLSやSSL/TLSなど)を使用してセキュリティを強化します。 4)大量の電子メールについては、メールキューシステムを使用してパフォーマンスを最適化することを検討してください。

高度なPHPメール:カスタムヘッダーと機能高度なPHPメール:カスタムヘッダーと機能May 09, 2025 am 12:13 AM

customedersandaddadvancedfeaturesinphpemailentalitylivainability.1)customederadddetadata fortrackingandcategorization.2)htmLemailsallowStingtintintintintintinteractivity.3)添付物質の添付物質の添付

php&smtpでメールを送信するためのガイドphp&smtpでメールを送信するためのガイドMay 09, 2025 am 12:06 AM

PHPとSMTPを使用してメールを送信することは、PHPMailerライブラリを介して実現できます。 1)PHPMailerをインストールして構成する、2)SMTPサーバーの詳細を設定する、3)電子メールコンテンツを定義し、4)メールを送信してエラーを処理します。この方法を使用して、電子メールの信頼性とセキュリティを確保します。

PHPを使用して電子メールを送信する最良の方法は何ですか?PHPを使用して電子メールを送信する最良の方法は何ですか?May 08, 2025 am 12:21 AM

BestappRoachforseminginphpisusingthephpmailerlibrarydueToitsReliability、featurrichness、andeaseofuse.phpmailerSupportssmtpは、detairederorhandlingを提供します

PHPでの依存関係注射のベストプラクティスPHPでの依存関係注射のベストプラクティスMay 08, 2025 am 12:21 AM

依存関係注射(DI)を使用する理由は、コードのゆるい結合、テスト可能性、および保守性を促進するためです。 1)コンストラクターを使用して依存関係を注入します。2)サービスロケーターの使用を避け、3)依存関係噴射コンテナを使用して依存関係を管理する、4)依存関係を注入することでテスト可能性を向上させる、5)注入依存性を回避、6)パフォーマンスに対するDIの影響を考慮します。

PHPパフォーマンスのチューニングのヒントとコツPHPパフォーマンスのチューニングのヒントとコツMay 08, 2025 am 12:20 AM

phpperformancetuningisucial cuseenhancess andandandadsand。

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

KB5055518を修正する方法Windows 10にインストールできませんか?
1 か月前ByDDD
KB5055523を修正する方法Windows 11にインストールできませんか?
1 か月前ByDDD
<🎜>:庭を育てる - 完全な突然変異ガイド
3週間前ByDDD
<🎜>:バブルガムシミュレーターインフィニティ - ロイヤルキーの取得と使用方法
3週間前By尊渡假赌尊渡假赌尊渡假赌
KB5055612を修正する方法Windows 10にインストールできませんか?
3週間前ByDDD
もっと見る

ホットツール

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。

DVWA

DVWA

Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、

PhpStorm Mac バージョン

PhpStorm Mac バージョン

最新(2018.2.1)のプロフェッショナル向けPHP統合開発ツール

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

もっと見る

ホットトピック

Java チュートリアル
1664
14
CakePHP チュートリアル
1423
52
Laravel チュートリアル
1317
25
PHP チュートリアル
1268
29
C# チュートリアル
1246
24
もっと見る