PHP で SQL インジェクションを防ぐにはどうすればよいですか? _PHP チュートリアル
- WBOYオリジナル
- 2016-07-13 10:29:08813ブラウズ
問題の説明:
ユーザーが入力したデータが処理されずに SQL クエリ ステートメントに挿入された場合、次の例のように、アプリケーションは SQL インジェクション攻撃を受ける可能性があります。 リーリー
ユーザーの入力は次のようになります:リーリー
その後、SQL クエリは次のようになります:リーリー
SQL インジェクションを防ぐためにはどのような効果的な方法を採用する必要がありますか?ベストアンサーは
Theo からです):
プリペアドステートメントとパラメータ化されたクエリを使用します。準備されたステートメントとパラメータはそれぞれ解析のためにデータベース サーバーに送信され、パラメータは通常の文字として扱われます。このアプローチにより、攻撃者による悪意のある SQL の挿入が防止されます。 このメソッドを実装するには 2 つのオプションがあります:
1. PDO を使用します: リーリー
2. mysqli を使用します: リーリー
PDO デフォルトで PDO を使用すると、MySQL データベースが実際のプリペアドステートメントを実行できないことに注意してください (以下を参照)。この問題を解決するには、準備されたステートメントの PDO エミュレーションを無効にする必要があります。 PDO を正しく使用してデータベース接続を作成する例は次のとおりです:リーリー
上記の例では、エラー報告モード (ATTR_ERRMODE) は必須ではありませんが、追加することをお勧めします。このようにして、致命的なエラー (Fatal Error) が発生した場合でも、スクリプトの実行は停止されませんが、プログラマは PDOExceptions をキャッチしてエラーを適切に処理できるようになります。 ただし、最初の setAttribute() 呼び出しが必要です。これにより、PDO によるプリペアド ステートメントのシミュレーションが無効になり、実際のプリペアド ステートメントが使用されます。つまり、MySQL がプリペアド ステートメントを実行します。これにより、ステートメントとパラメータが MySQL に送信される前に PHP によって処理されていないことが保証され、攻撃者による悪意のある SQL の挿入が防止されます。理由を理解するには、このブログ投稿を参照してください:PDO アンチインジェクション原理の分析と PDO 使用時の注意点。 PHP の古いバージョン (5.3.6 未満) では、PDO コンストラクターの DSN を介して文字セットを設定できないことに注意してください。次を参照してください: charset パラメータをサイレントに無視しました。
分析前処理と解析のために SQL ステートメントをデータベース サーバーに送信するとどうなりますか?上記の例のように、プレースホルダーに ? または :name を指定して、データベース エンジンにフィルタリングする場所を指示します。 execute を呼び出すと、準備されたステートメントは指定したパラメーター値と結合されます。 重要な点はここです。パラメータ値は SQL 文字列ではなく、解析された SQL ステートメントと結合されます。 SQL インジェクションは、SQL ステートメントの作成時に悪意のある文字列を含むスクリプトによってトリガーされます。したがって、SQL ステートメントとパラメーターを分離することで、SQL インジェクションのリスクを回避できます。送信するパラメータ値は通常の文字列として扱われ、データベース サーバーによって解析されません。上記の例に戻ると、$name 変数の値が 'Sarah'; DELETE FROM 従業員の場合、実際のクエリは、name フィールドの値が 'Sarah' である従業員内のレコードを検索することになります。 プリペアド ステートメントを使用するもう 1 つの利点は、同じデータベース接続セッションで同じステートメントを何度も実行しても、解析されるのは 1 回だけになるため、実行速度が少し向上することです。 挿入方法を知りたい場合は、PDO を使用した次の例を参照してください):
リーリー
翻訳リンク:http://blog.jobbole.com/67875/
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。