ホームページ >データベース >mysql チュートリアル >SQLインジェクションを防ぐ方法
SQL インジェクションを防ぐ方法: 1. 設定ファイルで「magic_quotes_gpc」などの設定をオンにする; 2. SQL ステートメントを実行するときに、addslashes を使用して SQL ステートメントを変換する; 3. 二重引用符やシングル引用符を省略しないようにするSQL ステートメントを記述するときに引用符を使用する引用符; 4. SQL ステートメント内の一部のキーワードをフィルターで除外する; 5. データベースの命名スキルを向上させるなど。
SQL インジェクションを防ぐ方法は次のとおりです。 SQL ステートメントの実行時にアッドスラッシュを使用して SQL ステートメントを変換し、SQL ステートメント内の一部のキーワードをフィルターで除外し、データベーステーブルやフィールドの命名テクニックなど。
SQL インジェクションの原因
プログラム開発プロセス中に、SQL ステートメントの標準的な記述と特殊文字のフィルタリングに注意を払わなかったために、クライアントがグローバル変数 POST および GET を渡す 通常の実行のためにいくつかの SQL ステートメントを送信します。
SQL インジェクションを防ぐ方法
1. 構成ファイルで magic_quotes_gpc および magic_quotes_runtime 設定をオンにします
2. SQL の実行時に addslashes を使用しますSQL ステートメント ステートメント変換
3. SQL ステートメントを記述するときは、二重引用符と一重引用符を省略しないようにしてください。
4. SQL ステートメント内のいくつかのキーワード (update、insert、delete、select、*) をフィルターで除外します。
5. データベースのテーブルとフィールドの命名スキルを向上させる プログラムの特性に従って重要なフィールドに名前を付け、推測しにくいものを選択します。
6. Php 設定ファイルで register_globals を off に設定し、グローバル変数の登録をオフにします
7. エラー メッセージを制御します ブラウザにエラー メッセージを出力せず、エラー メッセージをブラウザに書き込みますログファイルです。
8. 保護には waf 保護システムを使用できます。
以上がSQLインジェクションを防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。