PHP の前処理されたクエリがどのように SQL インジェクションを防ぐかを分析した記事

この記事では、PHP に関する関連知識を提供します。主に、前処理ステートメントとは何かについて説明します。 PHP の前処理されたクエリはどのようにして SQL インジェクションを防ぐのでしょうか?興味のある方は以下をご覧ください。皆様のお役に立てれば幸いです。

#PHP の前処理クエリはどのようにして SQL インジェクションを防ぐのでしょうか?

現時点で SQL インジェクションを防ぐ最も効果的な方法は、プリペアド ステートメントとパラメータ化されたクエリを使用することです。

最も一般的に使用される PHP PDO 拡張機能を例に挙げます。

公式ドキュメントのプリペアド ステートメントの概要

プリペアド ステートメントとは何ですか?

これは、実行する SQL のコンパイル済みテンプレートと考えてください。変数パラメーターを使用してカスタマイズできます。

準備されたステートメントの 2 つの主な利点:

1; クエリは 1 回だけ解析 (または前処理) する必要がありますが、同じまたは異なるパラメーターを使用して複数回実行できます。クエリの準備が完了すると、データベースはクエリを実行するための計画を分析、コンパイル、最適化します。複雑なクエリの場合、このプロセスには時間がかかり、同じクエリを異なるパラメータで複数回繰り返す必要がある場合、アプリケーションの速度が大幅に低下する可能性があります。準備されたステートメントを使用すると、分析/コンパイル/最適化サイクルの繰り返しを回避できます。簡単に言えば、準備されたステートメントは使用するリソースが少ないため、より高速に実行されます。

2. 準備されたステートメントに指定されたパラメーターは引用符で囲む必要はなく、ドライバーが自動的に処理します。アプリケーションでプリペアド ステートメントのみを使用する場合は、SQL インジェクションが発生しないようにできます。 (ただし、クエリの他の部分がエスケープされていない入力から構築されている場合は、依然として SQL インジェクションのリスクが存在します)。

PDO の特徴は、ドライバーが前処理をサポートしていない場合、PDO が処理をシミュレートすることであり、このとき、前処理パラメータ化されたクエリ処理は PDO シミュレータ内で完了します。 PDO シミュレーターは、DSN で指定された文字セットに従って入力パラメーターをローカルにエスケープし、それらを結合して完全な SQL ステートメントを作成し、MySQL サーバーに送信します。

したがって、PDO シミュレーターが入力パラメーターを正しくエスケープできるかどうかが、SQL インジェクションをインターセプトする鍵となります。

PHP バージョン 5.3.6 より前の場合、DSN (データ ソース名) はデフォルトで charset パラメータを無視します。現時点では、PDO のローカル エスケープを使用すると、依然として SQL インジェクションが発生する可能性があります。

したがって、Laravel フレームワークの最下層は PDO::ATTR_EMULATE_PREPARES=false を直接設定して、SQL ステートメントとパラメーター値が MySQL サーバーに送信される前に PHP によって解析されないようにします。

PHP の実装

// 查询
$calories = 150;
$colour = 'red';  
$sth = $dbh->prepare(&#39;SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour&#39;);  
$sth->bindValue(&#39;:calories&#39;, $calories, PDO::PARAM_INT);  
$sth->bindValue(&#39;:colour&#39;, $colour, PDO::PARAM_STR);  
$sth->execute();

// 插入，修改，删除
$preparedStmt = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStmt->execute(array(':column' => $unsafeValue));

Laravel の基礎となる実装

// 查询的实现
public function select($query, $bindings = [], $useReadPdo = true)
{
    return $this->run($query, $bindings, function ($query, $bindings) use ($useReadPdo) {
        if ($this->pretending()) {
                return [];
        }
        $statement = $this->prepared(
                $this->getPdoForSelect($useReadPdo)->prepare($query)
        );
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        return $statement->fetchAll();
    });
}
// 修改删除的实现
public function affectingStatement($query, $bindings = [])
{
    return $this->run($query, $bindings, function ($query, $bindings) {
        if ($this->pretending()) {
                return 0;
        }
        $statement = $this->getPdo()->prepare($query);
        $this->bindValues($statement, $this->prepareBindings($bindings));
        $statement->execute();
        $this->recordsHaveBeenModified(
                ($count = $statement->rowCount()) > 0
        );
        return $count;
    });
}

推奨学習: 「PHP ビデオ チュートリアル 」

以上がPHP の前処理されたクエリがどのように SQL インジェクションを防ぐかを分析した記事の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。