SQL インジェクションの脆弱性をブロックする 3 つのステップ_PHP チュートリアル-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

SQL インジェクションの脆弱性をブロックする 3 つのステップ_PHP チュートリアル

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 pm 05:01 PM

sql存在する右データ時間とは注射抜け穴ユーザーのプログラム書くWebサイト入力

SQLインジェクションとは何ですか?
多くの Web サイトプログラムが作成される場合、ユーザー入力データの合法性が判断されず、アプリケーションにセキュリティリスクが発生します。ユーザーはデータベースクエリコード (通常はブラウザのアドレスバーで、通常の www ポート経由でアクセス) を送信し、プログラムから返された結果に基づいて知りたい特定のデータを取得できます。これがいわゆる SQL インジェクションです。つまり、SQL インジェクションです。
Webサイトの悪夢 - SQLインジェクション
SQLインジェクションは、Webページを通じてWebサイトのデータベースを変更します。管理者権限を持つユーザーをデータベースに直接追加できるため、最終的にはシステム管理者権限を取得できます。ハッカーは取得した管理者権限を利用して、Web サイト上のファイルを恣意的に取得したり、Web ページにトロイの木馬やさまざまな悪意のあるプログラムを追加したりして、Web サイトや Web サイトを訪問するネットユーザーに多大な損害を与える可能性があります。
SQL インジェクションを防ぐ素晴らしい方法があります
ステップ 1: 多くの初心者は、SQL ユニバーサルアンチインジェクションシステムプログラムをインターネットからダウンロードし、他の人が手動インジェクションテストを実行できないように、インジェクションを防止する必要があるページのヘッダーで使用します。（図1）。

図1
しかし、SQLインジェクションアナライザーを使えば、アンチインジェクションシステムを簡単にスキップして、そのインジェクションポイントを自動的に分析することができます（図2）。その後、管理者アカウントとパスワードが分析されるまでに数分しかかかりません (図 3)。

図2

図3

ステップ2：インジェクションアナライザーの予防について、著者は実験を通じて簡単で効果的な予防方法を発見しました。まず、SQL インジェクションアナライザーがどのように機能するかを知る必要があります。操作中に、ソフトウェアが「admin」管理者アカウントではなく、権限 (flag=1 など) に指示されていることがわかりました。このように、管理者アカウントがどのように変更されても、検出を逃れることはできません。

ステップ 3: 検出を逃れることはできないため、2 つのアカウントを作成します。1 つは通常の管理者アカウント、もう 1 つはインジェクションを防ぐためのアカウントです。著者は、虚偽の印象を作成し、ソフトウェアによる検出を誘導する最高の権限を持つアカウントを見つけ、そのアカウントのコンテンツが 1,000 文字を超える漢字である場合、ソフトウェアが強制的にフルロード状態になり、このアカウントを分析するときにもリソースを使用してください。次にデータベースを変更しましょう。

1. テーブル構造を変更します。管理者のアカウントフィールドのデータタイプを変更し、テキストタイプを最大フィールドの255に変更し（実際にはこれで十分ですが、より大きくしたい場合はメモタイプを選択できます）、パスワードフィールドを同じに設定します方法。

2. テーブルを修正します。 ID1に管理者権限のあるアカウントを設定し、漢字を多め（できれば100文字以上）入力してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

PHPおよびPython：さまざまなパラダイムが説明されていますApr 18, 2025 am 12:26 AM

PHPは主に手順プログラミングですが、オブジェクト指向プログラミング（OOP）もサポートしています。 Pythonは、OOP、機能、手続き上のプログラミングなど、さまざまなパラダイムをサポートしています。 PHPはWeb開発に適しており、Pythonはデータ分析や機械学習などのさまざまなアプリケーションに適しています。

PHPとPython：彼らの歴史を深く掘り下げますApr 18, 2025 am 12:25 AM

PHPは1994年に発信され、Rasmuslerdorfによって開発されました。もともとはウェブサイトの訪問者を追跡するために使用され、サーバー側のスクリプト言語に徐々に進化し、Web開発で広く使用されていました。 Pythonは、1980年代後半にGuidovan Rossumによって開発され、1991年に最初にリリースされました。コードの読みやすさとシンプルさを強調し、科学的コンピューティング、データ分析、その他の分野に適しています。

PHPとPythonの選択：ガイドApr 18, 2025 am 12:24 AM

PHPはWeb開発と迅速なプロトタイピングに適しており、Pythonはデータサイエンスと機械学習に適しています。 1.PHPは、単純な構文と迅速な開発に適した動的なWeb開発に使用されます。 2。Pythonには簡潔な構文があり、複数のフィールドに適しており、強力なライブラリエコシステムがあります。

PHPとフレームワーク：言語の近代化Apr 18, 2025 am 12:14 AM

PHPは、多数のWebサイトとアプリケーションをサポートし、フレームワークを通じて開発ニーズに適応するため、近代化プロセスで依然として重要です。 1.PHP7はパフォーマンスを向上させ、新機能を紹介します。 2。Laravel、Symfony、Codeigniterなどの最新のフレームワークは、開発を簡素化し、コードの品質を向上させます。 3.パフォーマンスの最適化とベストプラクティスは、アプリケーションの効率をさらに改善します。

PHPの影響：Web開発などApr 18, 2025 am 12:10 AM

phphassiblasifly-impactedwebdevevermentandsbeyondit.1）itpowersmajorplatformslikewordpratsandexcelsindatabase interactions.2）php'sadaptableability allowsitale forlargeapplicationsusingframeworkslikelavel.3）

スカラータイプ、リターンタイプ、ユニオンタイプ、ヌル可能なタイプなど、PHPタイプのヒントはどのように機能しますか？Apr 17, 2025 am 12:25 AM

PHPタイプは、コードの品質と読みやすさを向上させるためのプロンプトがあります。 1）スカラータイプのヒント：php7.0であるため、基本データ型は、int、floatなどの関数パラメーターで指定できます。 3）ユニオンタイプのプロンプト：PHP8.0であるため、関数パラメーターまたは戻り値で複数のタイプを指定することができます。 4）Nullable Typeプロンプト：null値を含めることができ、null値を返す可能性のある機能を処理できます。

PHPは、オブジェクトのクローニング（クローンキーワード）と__Clone Magicメソッドをどのように処理しますか？Apr 17, 2025 am 12:24 AM

PHPでは、クローンキーワードを使用してオブジェクトのコピーを作成し、\ _ \ _クローンマジックメソッドを使用してクローン動作をカスタマイズします。 1.クローンキーワードを使用して浅いコピーを作成し、オブジェクトのプロパティをクローン化しますが、オブジェクトのプロパティはクローニングしません。 2。\ _ \ _クローン法は、浅いコピーの問題を避けるために、ネストされたオブジェクトを深くコピーできます。 3.クローニングにおける円形の参照とパフォーマンスの問題を避けるために注意し、クローニング操作を最適化して効率を向上させます。

PHP対Python：ユースケースとアプリケーションApr 17, 2025 am 12:23 AM

PHPはWeb開発およびコンテンツ管理システムに適しており、Pythonはデータサイエンス、機械学習、自動化スクリプトに適しています。 1.PHPは、高速でスケーラブルなWebサイトとアプリケーションの構築においてうまく機能し、WordPressなどのCMSで一般的に使用されます。 2。Pythonは、NumpyやTensorflowなどの豊富なライブラリを使用して、データサイエンスと機械学習の分野で驚くほどパフォーマンスを発揮しています。

See all articles