PHP アプリケーションでの SQL インジェクションを防ぐにはどうすればよいですか?-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

PHP アプリケーションでの SQL インジェクションを防ぐにはどうすればよいですか?

Linda Hamilton

Jan 25, 2025 pm 10:17 PM

How Can I Prevent SQL Injection in PHP Applications?

PHP での SQL インジェクションを防止

SQL インジェクションは、変更されていないユーザー入力が SQL クエリに誤って挿入された場合に発生する脆弱性です。これにより、攻撃者が任意の SQL コードを実行できるようになり、アプリケーションに壊滅的な影響を与える可能性があります。

SQL インジェクションを防ぐには、データを SQL から分離し、データが常にデータとして残り、SQL パーサーによってコマンドとして解釈されないようにすることが重要です。これは、パラメータを指定したプリペアドステートメントを使用することで実現できます。これにより、SQL クエリがデータベースサーバーに送信され、パラメータとは別に解析されます。これにより、攻撃者は悪意のある SQL を挿入できなくなります。

これを実現するには 2 つの方法があります:

PDO を使用します (サポートされているデータベースドライバーで動作します)

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // 处理 $row
}

MySQLi の使用 (MySQL 用)

PHP 8.2:

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

PHP 8.1 以前:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定变量类型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

MySQL 以外のデータベースに接続している場合は、2 番目のドライバー固有のオプション (PostgreSQL の pg_prepare() および pg_execute() など) を参照できます。 PDO は普遍的な選択肢です。

正しい接続構成

PDO を使用して MySQL データベースにアクセスする場合、デフォルトでは実際のプリペアドステートメントは使用されません。この問題を解決するには、準備されたステートメントのシミュレーションを無効にする必要があります。 PDO を使用して接続を作成する方法の例を次に示します:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

MySQLi の場合、同じ操作を実行する必要があります:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 编码

説明

prepare に渡す SQL クエリは、データベースサーバーによって解析され、コンパイルされます。パラメーター (? または上記の :name の例のような名前付きパラメーター) を指定することで、何に基づいてフィルターするかをデータベースカーネルに伝えます。次に、execute が呼び出されると、前処理されたクエリが指定したパラメーター値と結合されます。

パラメータ値は SQL 文字列ではなく、コンパイルされたクエリと結合されることが重要です。 SQL インジェクションは、データベースに送信する SQL を作成するときに、スクリプトをだまして悪意のある文字列を含めることによって機能します。したがって、実際の SQL をパラメータとは別に送信することで、予期しない結果が得られるリスクを軽減できます。

準備されたステートメントを使用して送信されたパラメーターはすべて、単純に文字列として扱われます (ただし、データベースカーネルは最適化を実行するため、パラメーターが数値である場合もあります)。上の例では、変数 $name に 'Sarah'; DELETE FROM employees が含まれている場合、結果は検索文字列 "'Sarah'; DELETE FROM employees " のみとなり、テーブルはクリアされません。

準備されたステートメントを使用するもう 1 つの利点は、同じセッション内で同じクエリを複数回実行する場合、解析とコンパイルが 1 回だけで済むため、速度が向上することです。

以上がPHP アプリケーションでの SQL インジェクションを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

MySQL：BLOBおよびその他のNO-SQLストレージ、違いは何ですか？May 13, 2025 am 12:14 AM

mysql'sblobissuitable forstoringbinarydatawithinarationaldatabase、whileenosqloptionslikemongodb、redis、andcassandraofferferulesions forunstructureddata.blobissimplerbutcanslowdowdowd withwithdata

MySQLユーザーの追加：構文、オプション、セキュリティのベストプラクティスMay 13, 2025 am 12:12 AM

toaddauserinmysql、使用：createuser'username '@' host'identifidedby'password '; here'showtodoitsely：1）chosehostcarefilytoconを選択しますTrolaccess.2）setResourcelimitslikemax_queries_per_hour.3）usestrong、uniquasswords.4）endforcessl/tlsconnectionswith

MySQL：文字列データ型の一般的な間違いを回避する方法May 13, 2025 am 12:09 AM

toavoidcommonMonmistakeswithStringDatatypesinmysql、undultingStringTypenuste、choosetherightType、andManageEncodingandCollationsEttingtingive.1）Usecharforfixed-LengthStrings、Varcharforaible Length、AndText/Blobforlardata.2）setCurrectCherts

MySQL：文字列データ型と列挙？May 13, 2025 am 12:05 AM

mysqloffersechar、varchar、Text、anddenumforstringdata.usecharforfixed-lengthstrings、varcharerforvariable-length、text forlarger text、andenumforenforcingdataantegritywithaetofvalues。

MySQL BLOB：BLOBSリクエストを最適化する方法May 13, 2025 am 12:03 AM

MySQLBlob要求の最適化は、次の戦略を通じて実行できます。1。ブロブクエリの頻度を減らす、独立した要求の使用、または読み込みの遅延。 2。適切なブロブタイプ（TinyBlobなど）を選択します。 3。ブロブデータを別々のテーブルに分離します。 4.アプリケーションレイヤーでBLOBデータを圧縮します。 5.ブロブメタデータをインデックスします。これらの方法は、実際のアプリケーションでの監視、キャッシュ、データシェルディングを組み合わせることにより、パフォーマンスを効果的に改善できます。

MySQLにユーザーを追加：完全なチュートリアルMay 12, 2025 am 12:14 AM

MySQLユーザーを追加する方法を習得することは、データベース管理者と開発者にとって重要です。これは、データベースのセキュリティとアクセス制御を保証するためです。 1）CreateUserコマンドを使用して新しいユーザーを作成し、2）付与コマンドを介してアクセス許可を割り当て、3）FlushPrivilegesを使用してアクセス許可を有効にすることを確認します。

MySQL文字列データ型のマスター：Varchar vs. Text vs. CharMay 12, 2025 am 12:12 AM

choosecharforfixed-lengthdata、varcharforvariable-lengthdata、andtextforlargetextfields.1）chariseffienceforconsistent-lengthdatalikecodes.2）varcharsuitsvariaible-lengthdatalikenames、balancingflexibilityandperformance.3）Textisidealforforforforforforforforforforforidex

MySQL：文字列データ型とインデックス：ベストプラクティスMay 12, 2025 am 12:11 AM

MySQLの文字列データ型とインデックスを処理するためのベストプラクティスには、次のものが含まれます。1）固定長のchar、可変長さのvarchar、大規模なテキストのテキストなどの適切な文字列タイプを選択します。 2）インデックス作成に慎重になり、インデックスを避け、一般的なクエリのインデックスを作成します。 3）プレフィックスインデックスとフルテキストインデックスを使用して、長い文字列検索を最適化します。 4）インデックスを定期的に監視および最適化して、インデックスを小さく効率的に保つ。これらの方法により、読み取りと書き込みのパフォーマンスをバランスさせ、データベースの効率を改善できます。

See all articles