PHP_PHP チュートリアルで SQL インジェクションを防ぐ最善の方法について説明します。-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP_PHP チュートリアルで SQL インジェクションを防ぐ最善の方法について説明します。

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:06 PM

phpsql話し合う入れる方法はいとはほとんど注射ユーザーの入力防ぐ

ユーザーが SQL ステートメントに直接挿入されるクエリを入力すると、アプリケーションは次の例のように SQL インジェクションに対して脆弱になります:

コードをコピーしますコードは次のとおりです:

$ unsafe_variable = $_POST[ 'user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

これは、ユーザーが VALUE のようなものを入力できるためです"); DROP TABLE table; - , make クエリは次のようになります:

コードをコピーします。コードは次のとおりです:

INSERT INTO table (column) VALUES('VALUE');'

この状況を防ぐにはどうすればよいでしょうか?以下を参照してください任意のパラメーターを含む SQL ステートメントはデータベースサーバーに送信され、解析されます。
この目標には基本的に 2 つのオプションがあります:
1. PDO (PHP データオブジェクト) を使用します:

コードをコピーしますコードは次のとおりです:

$stmt = $pdo->prepare( 'SELECT * FROM 従業員 WHERE name = :name');

$stmt->execute(array(':name' => $name));
foreach ($stmt as $row) {
 // 何かをするwith $ row
}

2. mysqli を使用します:

コードをコピーしますコードは次のとおりです:

$stmt = $dbConnection->prepare('SELECT * FROM 従業員 WHERE name = ?') ;

$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result-> ;fetch_assoc()) {
 // $row
}で何かをする

PDO (PHP Data Object)
PDO を使用して MySQL データベースにアクセスする場合、実際のプリペアドステートメントはこの問題を解決するには、プリペアドステートメントのエミュレーションを無効にする必要があります。 PDO を使用して接続を作成する例は次のとおりです:

コードをコピーしますコードは次のとおりです:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0. 0.1;charset=utf8', ' user', 'pass');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION) ;


上記の例では、エラー モード ERRMODE は厳密には必須ではありませんが、追加することをお勧めします。このメソッドは、致命的なエラーが発生した場合でもスクリプトを停止しません。そして、開発者にエラー (PDOException がスローされたとき) を捕捉する機会を与えます。 

setAttribute() 行は必須であり、エミュレートされたプリペアドステートメントを無効にし、実際のプリペアドステートメントを使用するように PDO に指示します。これにより、ステートメントと値が MySQL データベースサーバーに送信される前に PHP によって解析されなくなります (攻撃者が悪意のある SQL を挿入する可能性はありません)
もちろん、コンストラクターオプションで文字セットパラメーターを設定することもできます。「古い」PHP バージョン (5.3.6) は、DSN の文字セットパラメータを無視することに特に注意してください。

説明
渡したSQLプリペアドステートメントがデータベースサーバーによって解析され、コンパイルされるとどうなりますか?文字 (上の例では a? や like: name など) を指定して、データベースエンジンにフィルタリングする内容を伝えます。次に、execute を呼び出して、指定したパラメーター値と組み合わせて準備されたステートメントを実行します。、パラメーター値は、SQL 文字列ではなく、プリコンパイルされたステートメントと結合されます。SQL インジェクションは、悪意のある文字列を含む SQL スクリプトを不正に作成し、それをデータベースに送信することによって機能します。そのため、実際の別の SQL パラメーターを送信します。プリペアドステートメントを使用する場合、送信するパラメータは文字列としてのみ扱われます (ただし、データベースエンジンはパラメータの最適化を行う可能性がありますが、上記の例では、最終的には数値になる可能性があります)。変数 $name に 'sarah';DELETE * FROMemployees が含まれている場合、結果は検索文字列 "'sarah';DELETE * FROMemployees" のみとなり、空のテーブルは取得されません。プリペアドステートメントを使用するもう 1 つの利点は、同じセッション内で同じステートメントを複数回実行する場合、解析とコンパイルが 1 回だけで済み、速度がある程度向上することです。
ああ、挿入方法を尋ねられたので、ここに例を示します (PDO を使用):

コードをコピーします

コードは次のとおりです:

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute(array(':column' => $unsafeValue));
 

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

PHPアプリケーションをより速くする方法May 12, 2025 am 12:12 AM

tomakephpapplicationsfaster、followthesesteps：1）useopcodecachinglikeopcacheTostoredscriptbytecode.2）最小化abasequeriesecachingingindexing.3）leveragephp7機能forbettercodeefficiency.4）

PHP Performance Optimization Checklist：今すぐ速度を改善してくださいMay 12, 2025 am 12:07 AM

PoldeSeptepsに続きます

PHP依存性インジェクション：コードのテスト可能性を改善しますMay 12, 2025 am 12:03 AM

依存性注入（DI）は、明示的に推移的な依存関係によりPHPコードのテスト可能性を大幅に改善します。 1）DI分離クラスと特定の実装により、テストとメンテナンスが柔軟になります。 2）3つのタイプのうち、コンストラクターは、状態を一貫性に保つために明示的な式依存性を注入します。 3）DIコンテナを使用して複雑な依存関係を管理し、コードの品質と開発効率を向上させます。

PHPパフォーマンスの最適化：データベースクエリの最適化May 12, 2025 am 12:02 AM

DatabaseQueryoptimizationInpholvesseveralstrategESTOEnhancePerformance.1）selectonlynlynlyndorycolumnStoredatedataTransfer.2）useindexingtospeedupdataretrieval.3）revenmecrycachingtostoreres sultsoffrequent queries.4）

簡単なガイド：PHPスクリプトで電子メールを送信しますMay 12, 2025 am 12:02 AM

phpisusededemingemailsduetoitsbuilt-inmail（）functionandsupportiveLibrarieslikephpmailerandswiftmailer.1）usethemail（）functionforbasicemails、butithaslimitations.2）emploadforadvancedfeatureSlikelikelivableabableabuses.3）雇用

PHPパフォーマンス：ボトルネックの識別と修正May 11, 2025 am 12:13 AM

PHPパフォーマンスボトルネックは、次の手順で解決できます。1）パフォーマンス分析にXdebugまたはBlackfireを使用して問題を見つける。 2）データベースクエリを最適化し、APCUなどのキャッシュを使用します。 3）array_filterなどの効率的な関数を使用して、配列操作を最適化します。 4）bytecodeキャッシュ用のopcacheを構成します。 5）HTTP要求の削減や写真の最適化など、フロントエンドを最適化します。 6）パフォーマンスを継続的に監視および最適化します。これらの方法により、PHPアプリケーションのパフォーマンスを大幅に改善できます。

PHPの依存関係注射：簡単な要約May 11, 2025 am 12:09 AM

依存関係（di）inphpisadesignpatternativats anducesclassodulencies、拡張測定性、テスト可能性、および維持可能性。

PHPパフォーマンスの向上：キャッシュ戦略と技術May 11, 2025 am 12:08 AM

cachingemprovesppperformancebystring of computationsorquickretrieval、還元装置の削減は、reducingerloadendenhancersponseTimes.efcectivestrategiesInclude：1）opcodecaching、compiledphpscriptsinmemorytoskipcompilation;

See all articles