PHPでのSQLインジェクションを防ぐ方法-PHPの問題-php.cn

ホームページ

バックエンド開発

PHPの問題

PHPでのSQLインジェクションを防ぐ方法

爱喝马黛茶的安东尼

Sep 27, 2019 pm 04:15 PM

phpsql注射防ぐ

PHPでのSQLインジェクションを防ぐ方法

簡単な SQL インジェクションの例

たとえば、A は銀行の Web サイトを持っています。銀行顧客が口座番号と残高を確認できるように、Web インターフェイスが提供されています。銀行の Web サイトでは、http://example.com/get_account_details.php?account_id=102 のような URL を使用してデータベースから詳細を取得します。

たとえば、get_account_details.php のコードは次のようになります。

$accountId = $_GET[&#39;account_id&#39;];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";

顧客の accountId は、クエリ文字列を通じて account_id として渡されます。ユーザーのアカウント ID が 102 で、それがクエリ文字列で渡される場合は、上記の URL と同じです。 Php スクリプトは以下に示すクエリを作成します。

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";

accountId 102 accountNumber と残高の詳細を取得し、顧客に提供します。

関連する推奨事項: "php チュートリアル"

賢明な顧客が 0 OR 1=1 クエリ文字列と同様に、account_id を渡した別のシナリオを想定してみましょう。今、何が起きた？ PHP スクリプトは、以下に示すクエリを作成し、データベース上で実行します。

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";

スクリプトによって作成されたクエリとデータベースから返された結果を表示します。このクエリにより、すべての口座と利用可能な残高が返されることがわかります。

これは SQL インジェクションと呼ばれます。これは簡単な方法ですが、SQL インジェクションを実行するにはさまざまな方法があります。 PHP MySQLi ドライバーと PHP PDO ドライバーを使用して SQL インジェクションを防ぐ方法を見てみましょう。

PHP-MySQLi ドライバーの使用

PHP-MySQLi ドライバーの準備済みステートメントを使用すると、この種の SQL インジェクションを回避できます。

SQL インジェクションを防ぐための PHP コードは次のとおりです:

$accountId = $_GET[&#39;account_id&#39;];  
if ($stmt = $mysqli->prepare(&#39;SELECT accountNumber, balance FROM accounts WHERE accountId = ?&#39;)) {   
    $stmt->bind_param("s", $accountId);  
    $stmt->execute();  
 $result = $stmt->get_result();  
 while ($row = $result->fetch_assoc()) {
 // do something here
 }  
    $stmt->close(); 
}

PHP-PDO ドライバーを使用する

PHP-PDO ドライバーの準備ステートメントを使用できます。これらのタイプの SQL インジェクションを回避するには。

上記の SQL インジェクションの問題を解決するための PHP のコードは次のとおりです:

$accountId = $_GET[&#39;account_id&#39;];  
if ($stmt = $pdo->prepare(&#39;SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId&#39;)) {   
    $stmt->execute(array(&#39;name&#39; => $name));  
 foreach ($stmt as $row) {
 // do something here
 }  
    $stmt->close(); 
}

以上がPHPでのSQLインジェクションを防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

酸とベースデータベース：違いとそれぞれを使用するタイミング。Mar 26, 2025 pm 04:19 PM

この記事では、酸とベースのデータベースモデルを比較し、その特性と適切なユースケースを詳述しています。酸は、財務およびeコマースアプリケーションに適したデータの整合性と一貫性を優先し、ベースは可用性に焦点を当て、

PHPセキュアファイルアップロード：ファイル関連の脆弱性の防止。Mar 26, 2025 pm 04:18 PM

この記事では、コードインジェクションのような脆弱性を防ぐために、PHPファイルのアップロードを確保することについて説明します。ファイルタイプの検証、セキュアストレージ、およびアプリケーションセキュリティを強化するエラー処理に焦点を当てています。

PHP入力検証：ベストプラクティス。Mar 26, 2025 pm 04:17 PM

記事では、組み込み関数、ホワイトリストアプローチ、サーバー側の検証などの手法に焦点を当てたセキュリティを強化するためのPHP入力検証のベストプラクティスについて説明します。

PHP APIレート制限：実装戦略。Mar 26, 2025 pm 04:16 PM

この記事では、Token BucketやLeaky BucketなどのアルゴリズムやSymfony/Rate-Limiterなどのライブラリを使用するなど、PHPでAPIレート制限を実装するための戦略について説明します。また、監視、動的に調整されたレートの制限、および手をカバーします

PHPパスワードハッシュ：password_hashおよびpassword_verify。Mar 26, 2025 pm 04:15 PM

この記事では、パスワードを保護するためにPHPでpassword_hashとpassword_verifyを使用することの利点について説明します。主な議論は、これらの関数が自動塩の生成、強力なハッシュアルゴリズム、およびSecurを通じてパスワード保護を強化するということです

OWASPトップ10 PHP：共通の脆弱性を説明し、軽減します。Mar 26, 2025 pm 04:13 PM

この記事では、PHPおよび緩和戦略におけるOWASPトップ10の脆弱性について説明します。重要な問題には、PHPアプリケーションを監視および保護するための推奨ツールを備えたインジェクション、認証の壊れ、XSSが含まれます。

PHP XSS予防：XSSから保護する方法。Mar 26, 2025 pm 04:12 PM

この記事では、PHPでのXSS攻撃を防ぐための戦略について説明し、入力の消毒、出力エンコード、セキュリティを向上させるライブラリとフレームワークの使用に焦点を当てています。

PHPインターフェイスvs抽象クラス：それぞれを使用する時期。Mar 26, 2025 pm 04:11 PM

この記事では、PHPでのインターフェイスと抽象クラスの使用について説明し、それぞれをいつ使用するかに焦点を当てています。インターフェイスは、無関係なクラスや複数の継承に適した、実装なしで契約を定義します。抽象クラスは共通の機能を提供します

See all articles

ホットAIツール

ホットツール

MinGW - Minimalist GNU for Windows

このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポートライブラリとヘッダーファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。