PHPでSQLインジェクションを防ぐ方法の説明

SQL インジェクションを防ぐことは、私たちが開発する Web サイトを保護できるため、SQL インジェクションを防ぐためのプログラムを書くのに最適なプログラムです。そうではないので、今日は PHP を使用して SQL インジェクションを防ぐ方法について説明します。

原因

一方で、一部のデータは厳密に検証されておらず、クエリのためにSQLに直接接続されています。次のような脆弱性が発生します:

$id  = $_GET['id'];
$sql = "SELECT name FROM users WHERE id = $id";

$_GET['id'] には データ型 検証がないため、インジェクターは、「 and 1= 1 または " やその他の安全でないデータなど、あらゆる種類のデータを送信できます」 。以下のように書いた方が安全です。

$id  = intval($_GET['id']);
$sql = "SELECT name FROM users WHERE id = $id";

安全でないものを削除するには、id を int 型に変換します。

データの検証

インジェクションを防ぐための最初のステップは、対応するタイプに従って厳密に検証できるデータを検証することです。たとえば、int 型は intval を通じて直接変換できます。

$id =intval( $_GET['id']);

文字処理はより複雑です。 まず、sprintf 関数を使用して出力をフォーマットし、文字列であることを確認します。次に、いくつかのセキュリティ関数を使用して、次のようないくつかの不正な文字を削除します。

$str = addslashes(sprintf("%s",$str));　
//也可以用 mysqli_real_escape_string　函数替代addslashes

これは将来的にはより安全になります。もちろん、次のような「バッファ オーバーフロー攻撃」を防ぐために文字列の長さをさらに決定することもできます。

$str = addslashes(sprintf("%s",$str));
$str = substr($str,0,40); 
//最大长度为40

パラメータ化バインディング

パラメータ化バインディングは、SQL インジェクションを防ぐもう 1 つの障壁です。 php MySQLi と PDO はどちらもそのような機能を提供します。たとえば、MySQLi は次のようなクエリを実行できます:

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;
$stmt->bind_param('sssd', $code, $language, $official, $percent);

PDO は次のようにさらに便利です:

/* Execute a prepared statement by passing an array of values */
$sql = 'SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour&#39;; $sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(&#39;:calories&#39; => 150, &#39;:colour&#39; => &#39;red&#39;));
$red = $sth->fetchAll();
$sth->execute(array(&#39;:calories&#39; => 175, &#39;:colour&#39; => &#39;yellow&#39;));
$yellow = $sth->fetchAll();

私たちのほとんどはプログラミングに PHP フレームワークを使用するため、自分で SQL を綴らず、 パラメータに従ってクエリを実行するのが最善です。フレームワークによって与えられるバインディング。より複雑な SQL ステートメントに遭遇した場合は、自分でステートメントを記述する際に厳密な判断に注意する必要があります。 wordprss dbクエリ文など、PDOやMySQLiを使わずに用意されたものを自分で書くこともでき、厳密な型検証も受けていることがわかります。

function prepare( $query, $args ) {
    if ( is_null( $query ) )
         return;
    // This is not meant to be foolproof -- 
           but it will catch obviously incorrect usage.
    if ( strpos( $query, '%' ) === false ) {
         _doing_it_wrong( 'wpdb::prepare' , 
         sprintf ( ( 'The query argument of %s
                 must have a placeholder.' ), 'wpdb::prepare()' ), '3.9' );
   }
    $args = func_get_args();
    array_shift( $args );
    // If args were passed as an array (as in vsprintf), move them up
    if ( isset( $args[ 0] ) && is_array( $args[0]) )
         $args = $args [0];
    $query = str_replace( "'%s'", '%s' , $query ); 
        // in case someone mistakenly already singlequoted it
    $query = str_replace( '"%s"', '%s' , $query ); 
        // doublequote unquoting
    $query = preg_replace( &#39;|(?<!%)%f|&#39; , &#39;%F&#39; , $query ); 
        // Force floats to be locale unaware
    $query = preg_replace( &#39;|(?<!%)%s|&#39;, "&#39;%s&#39;" , $query ); 
        // quote the strings, avoiding escaped strings like %%s
    array_walk( $args, array( $this, &#39;escape_by_ref&#39; ) );
    return @ vsprintf( $query, $args );
}

まとめ

セキュリティは非常に重要です。基礎的なスキルを持っている人がいると、プロジェクトは抜け穴だらけであり、いくら拡張性と保守性が優れていても役に立たないこともわかります。平時より注意を払い、安全意識を確立し、習慣を身に付けましょう もちろん、基本的な安全性についてはコーディングに時間を費やす必要はありません。この習慣を身につければ、たとえ緊急で時間が短いプロジェクトであっても、高い品質でプロジェクトを遂行することができます。データベースを含め、将来的に責任を負うすべてのものが奪われ、損失が発生するまで待ってから真剣に対処しないでください。相互励まし合います！

関連記事:

phpでSQLインジェクションを防ぐ方法を詳しく解説

SQLインジェクションを防ぐためのphpの機能を紹介

以上がPHPでSQLインジェクションを防ぐ方法の説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。