準備されたステートメントとパラメーター化されたクエリは、PHPアプリケーションでのSQL注入をどのように防ぐことができますか？-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

準備されたステートメントとパラメーター化されたクエリは、PHPアプリケーションでのSQL注入をどのように防ぐことができますか？

Patricia Arquette

Jan 25, 2025 pm 10:22 PM

How Can Prepared Statements and Parameterized Queries Prevent SQL Injection in PHP Applications?

はじめに

SQLインジェクションは、SQLクエリ内のユーザー入力を処理するアプリケーションにとって重要な脅威のままです。攻撃者は脆弱性を活用して悪意のあるコマンドを注入し、データベース全体を侵害する可能性があります。この記事では、PHPでのSQL注入を防ぐための堅牢な方法について詳しく説明しています。

SQL注入脅威を理解する

未検証のユーザー入力がSQLクエリに直接影響する場合、SQLインジェクションエクスプロイトが発生します。たとえば、

のような悪意のあるコードが含まれている場合、データベースはこの破壊的なコマンドを実行します。

$userInput = $_POST['user_input'];
mysql_query("INSERT INTO users (username) VALUES ('$userInput')");

効果的な予防戦略

$userInput '; DROP TABLE users; --

1。準備されたステートメントとパラメーター化されたクエリ：防衛の礎

コア原則は、SQLクエリ構造からデータを分離することです。準備されたステートメント（またはパラメーター化されたクエリ）は、次のことでこれを達成します

クエリ/データ分離：データベースサーバーは、データ値とは独立してSQLクエリを解析します。文字列としてのデータ：

データ：すべてのデータは、悪意のあるSQLコードを中和する文字通り文字列として扱われます。

PDO（PHPデータオブジェクト）を使用する

PDOは、異なるデータベースシステム全体で一貫したインターフェイスを提供します。準備されたステートメントでPDOを使用する方法は次のとおりです
mysqli（mysqlの改善）：mysql

mysqliは、パラメーター化されたクエリを実行する2つの方法を提供します：

（php 8.2以降）：

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process each row
}

および

：

execute_query()2。データベース接続のベストプラクティス

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process each row
}

pdo：prepare() execute()最適なセキュリティのためにエミュレートされた準備されたステートメントを無効にします：

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes a string parameter
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process each row
}

mysqli：

堅牢なエラー報告を有効にして、文字セットを指定します：

3。追加のセキュリティ上の考慮事項

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

ダイナミッククエリ：準備されたステートメントがデータパラメーターを処理する間、クエリ構造自体をパラメーター化することはできません。動的クエリの場合、許可された値を制限するためにホワイトリストを使用してください

結論

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('localhost', 'username', 'password', 'database');
$dbConnection->set_charset('utf8mb4');

準備されたステートメントを実装し、データベース接続のフォローするベストプラクティスは、SQLインジェクションからPHPアプリケーションを保護するために重要です。 SQLクエリ内のデータ分離の優先順位付けにより、データベースの整合性とアプリケーションセキュリティが保証されます。

以上が準備されたステートメントとパラメーター化されたクエリは、PHPアプリケーションでのSQL注入をどのように防ぐことができますか？の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

mysql blob：制限はありますか？May 08, 2025 am 12:22 AM

mysqlblobshavelimits：tinyblob（255bytes）、blob（65,535bytes）、mediumblob（16,777,215bytes）、andlongblob（4,294,967,295bytes）.tousebl難易度：1）PROFFORMANCESANDSTORERGEBLOBSEXTERNALLY;

MySQL：ユーザーの作成を自動化するための最良のツールは何ですか？May 08, 2025 am 12:22 AM

MySQLでユーザーの作成を自動化するための最良のツールとテクノロジーには、次のものがあります。1。MySQLWorkBench、中小サイズの環境に適した、使いやすいがリソース消費量が高い。 2。アンシブル、マルチサーバー環境に適した、シンプルだが急な学習曲線。 3.カスタムPythonスクリプト、柔軟性がありますが、スクリプトセキュリティを確保する必要があります。 4。大規模な環境に適した人形とシェフ、複雑ですがスケーラブル。選択する際には、スケール、学習曲線、統合のニーズを考慮する必要があります。

mysql：blob内で検索できますか？May 08, 2025 am 12:20 AM

はい、youcansearchinsideablobinmysqlusingspecifictechniques.1）converttheblobtoautf-8stringwithconvert function andsearchusinglike.2）

MySQL文字列データ型：包括的なガイドMay 08, 2025 am 12:14 AM

mysqloffersvariousstringdatypes：1）charfofixed-lengthstrings、italforconsentlengtalikecountrycodes; 2）varcharforvariable-lengthstrings、適切なForfieldslikenames;

MySQLブロブのマスター：ステップバイステップのチュートリアルMay 08, 2025 am 12:01 AM

tomastermysqlblobs、soflowthesesteps：1）shoseetheapsosupturateblobtype（tinyblob、blob、mediumblob、longblob）basedOndatasize.2）insertDatausingload_fileforefficiency.3）storefilereferenceinsinsteadoffilestoimpeperformance.4）

MySQLのBLOBデータ型：開発者の詳細な概要May 07, 2025 pm 05:41 PM

blobdatatypesinmysqlareusedlarginglaredatalikeimagesorudio.1）useblobtypes（tinyblobtolongblob）Basedatasizeneeds。 2）storeblobsin perplate petooptimize performance.3）scondididididididididersxternalストレージBlob Romanaデータベースindimprovebackupe

コマンドラインからMySQLにユーザーを追加する方法May 07, 2025 pm 05:01 PM

toadduserstomysqlfromthecommandline、loginasroot、thenusecreateuser'username '@' host'ident'ident'identifidedby'password '; tocreateanewuser.grantpermissions with grantpermissions with grantalgegesondatabase

mysqlの文字列データ型は何ですか？詳細な概要May 07, 2025 pm 03:33 PM

mysqlofferseightStringDatatypes：char、varchar、binary、varbinary、blob、text、enum、andset.1）charisfixed-length、yealforconsistent datalikecountrycodes.2）varcharisvariable length、efficational forvaryingdatalikenames.3）binaryandvanterbinarydata a similati

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

DVWA

Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。