PHP で SQL インジェクションを防ぐにはどうすればよいですか? , php_PHP チュートリアルに SQL を挿入する方法

PHP で SQL インジェクションを防ぐにはどうすればよいですか? 、SQL を php に挿入する方法

問題の説明:

ユーザーが入力したデータが処理されずに SQL クエリ ステートメントに挿入された場合、次の例に示すように、アプリケーションは SQL インジェクション攻撃を受ける可能性があります。

1 2 3

​ $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

ユーザーの入力は次のようになるためです:

1

value'); DROP TABLE table;--

すると、SQLクエリは次のようになります:

1

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

SQLインジェクションを防ぐためにはどのような効果的な方法を採用すべきでしょうか？

ベストアンサー（テオさんから）:

準備されたステートメントとパラメータ化されたクエリを使用します。準備されたステートメントとパラメーターはそれぞれ解析のためにデータベース サーバーに送信され、パラメーターは通常の文字として扱われます。このアプローチにより、攻撃者による悪意のある SQL の挿入が防止されます。 このメソッドを実装するには 2 つのオプションがあります:

1. PDOを使用します:

1 2 3 4 5 6 7

​ $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); ​ $stmt->execute(array('name' => $name)); foreach ($stmt as $row) {     // do something with $row }

2. mysqliを使用します:

1 2 3 4 5 6 7 8 9

PDO

デフォルトで PDO を使用すると、MySQL データベースが実際のプリペアド ステートメントを実行できないことに注意してください (理由については以下を参照)。この問題を解決するには、準備されたステートメントの PDO エミュレーションを無効にする必要があります。 PDO を正しく使用してデータベース接続を作成する例は次のとおりです:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); ​ $stmt->bind_param('s', $name); ​ $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) {     // do something with $row }

1 2 3 4

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); ​ $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

上記の例では、エラー報告モード(ATTR_ERRMODE)は必要ありませんが、追加することをお勧めします。このようにして、致命的なエラー (Fatal Error) が発生した場合、スクリプトの実行は停止されませんが、プログラマは PDOException をキャッチしてエラーを適切に処理できるようになります。 ただし、最初の setAttribute() 呼び出しが必要です。これにより、PDO によるプリペアド ステートメントのシミュレーションが無効になり、実際のプリペアド ステートメントが使用されます。つまり、MySQL がプリペアド ステートメントを実行します。これにより、ステートメントとパラメータが MySQL に送信される前に PHP によって処理されていないことが保証され、攻撃者による悪意のある SQL の挿入が防止されます。理由を理解するには、このブログ記事「PDO の抗注射原理の分析と PDO 使用時の注意事項」を参照してください。 PHP の古いバージョン (5.3.6 未満) では、PDO のコンストラクターの DSN に charset を設定できないことに注意してください。「charset パラメータをサイレントに無視する」を参照してください。

分析

前処理と解析のために SQL ステートメントをデータベース サーバーに送信するとどうなりますか?プレースホルダ (上記の例のように ? または :name) を指定して、データベース エンジンにフィルタリングする場所を伝えます。 execute を呼び出すと、準備されたステートメントは指定したパラメーター値と結合されます。 重要な点はここです。パラメータ値は SQL 文字列ではなく、解析された SQL ステートメントと結合されます。 SQL インジェクションは、SQL ステートメントの作成時に悪意のある文字列を含むスクリプトによってトリガーされます。したがって、SQL ステートメントとパラメーターを分離することで、SQL インジェクションのリスクを回避できます。送信するパラメータ値は通常の文字列として扱われ、データベース サーバーによって解析されません。上記の例に戻ると、$name 変数の値が 'Sarah'; DELETE FROM 従業員の場合、実際のクエリは、name フィールドの値が 'Sarah' である従業員内のレコードを検索することになります。 プリペアド ステートメントを使用するもう 1 つの利点は、同じデータベース接続セッションで同じステートメントを何度も実行した場合、解析されるのは 1 回だけになるため、実行速度が少し向上することです。 挿入方法を知りたい場合は、次の例を参照してください (PDO を使用):

1 2 3

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)'); ​ $preparedStatement->execute(array('column' => $unsafeValue));

元リンク: StackOverflow 翻訳: Bole Online - rokety

PHP で SQL インジェクションを防ぐ方法

「いいね！」の多かった質問と回答を翻訳しました。質問: ユーザー入力を SQL ステートメントに直接挿入できる場合、アプリケーションは SQL インジェクション攻撃に対して脆弱になります。例: $unsafe_variable = $_POST['user_input']; INSERT INTO table (column) VALUES ( '" . $unsafe_variable . "')"); ユーザーは次のような値を入力できます: value'); DROP TABLE table;-- 、SQL ステートメントは次のようになります: INSERT INTO table (column) VALUES('value ') ; DROP TABLE table;-') (翻訳者注: この結果、テーブルが削除されます) この状況を防ぐにはどうすればよいでしょうか?回答: プリペアド ステートメントとパラメータ化されたクエリを使用します。これらの SQL ステートメントはデータベース サーバーに送信され、そのパラメーターはすべて個別に解析されます。この方法を使用すると、攻撃者が悪意のある SQL を挿入することは不可能になります。これを実現するには、主に 2 つの方法があります。 1. PDO を使用します。 $stmt = $pdo->prepare('SELECT * FROM従業員 WHERE name = :name'); $stmt->execute(array(':name') => $name)); foreach ($stmt as $row) { // $row を使用します: $stmt = $dbConnection->prepare('SELECT * FROM 従業員 WHERE name = ?' ); $stmt->bind_param('s', $name); $stmt->get_result(); $row = $result->fetch_assoc( )) { // $row で何かを行う } PDO PDO を使用して MySQL データベースにアクセスする場合、デフォルトでは実際のプリペアド ステートメントは使用されないことに注意してください。この問題を解決するには、シミュレートされた準備済みステートメントを無効にする必要があります。以下は、PDO を使用して接続を作成する例です。 $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); ;setAttribute( PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 上の例では、エラー報告モードは必須ではありませんが、使用することをお勧めします。まだ追加します。このようにして、何か問題が発生した場合でもスクリプトは致命的なエラーで終了せず、PDO 例外をスローするため、開発者はエラーをキャッチする機会が得られます。ただし、最初の行の setAttribute() は必須であり、これにより PDO はシミュレートされた準備済みを無効にします... テキストの残りの部分>>

PHP で SQL インジェクションを防ぐ方法

より効果的な方法は、公開設定ファイルに置くことです。 360safe.php
エラー番号: [$errno],error on $errfile の $errline 行
"; die();}set_error_handler("customError",E_ERROR);$getfilter="'|(and|or)\\b.+?(>|< |=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE。 +?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";$postfilter="\\ b(および|または)\\b.{1,6}?(=|>||<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|>

http://www.bkjia.com/PHPjc/904705.htmlwww.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/904705.html技術記事 PHP で SQL インジェクションを防ぐにはどうすればよいですか? 、SQL を php に挿入する方法 問題の説明: ユーザーが入力したデータが処理されずに SQL クエリ ステートメントに挿入されると、アプリケーションは非常に脆弱になります...