PHPでのSQLインジェクションを防ぐ方法

データベースのクエリ時に SQL インジェクションを防ぐ必要がある

実装方法:

PHP には独自のものが付属していますメソッド SQL ステートメントはエスケープでき、データベース クエリ ステートメントで必要な場合は特定の文字の前にバックスラッシュが追加されます。これらの文字は、一重引用符 (')、二重引用符 (")、バックスラッシュ (\)、および NUL (NULL 文字) です。 (推奨学習: 初心者からマスターまでの PHP プログラミング )

string addslashes ( string $str )//该函数返回一个字符串

例

<?php
$str = "Is your name O&#39;reilly?";

// 输出： Is your name O\&#39;reilly?
echo addslashes($str);
?>

ThinkPHP は自動的にセキュリティ保護を提供します。文字列型データの場合、ThinkPHP は、escape_string 処理 (real_escape_string、mysql_escape_string) を実行します。

SQL インジェクションを効果的に防止するには 質問、公式推奨事項:

より安全な方法であるクエリ条件には配列を使用してみてください。

最後の手段として文字列クエリ条件を使用する必要がある場合は、前処理メカニズムを使用してください。

アプリケーションのカスタム フィルタリングには自動検証および自動完了メカニズムを使用します。

環境が許せば、PDO の使用とパラメータ バインディングの使用を試してください。

クエリ条件の前処理

このメソッドは、クエリ ステートメントにプレースホルダーを配置し、配列の形式でパラメータを渡すことに似ています。

例:

$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();

$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

以上がPHPでのSQLインジェクションを防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。