SQL 주입 공격으로부터 PHP 애플리케이션 보호-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

SQL 주입 공격으로부터 PHP 애플리케이션 보호

DDD

Sep 14, 2024 am 06:23 AM

Securing PHP Applications Against SQL Injection Attacks

SQL 주입 공격을 차단하는 것은 PHP 애플리케이션의 보안을 유지하는 데 중요합니다. SQL 주입은 공격자가 데이터베이스에서 임의의 SQL 코드를 실행하여 잠재적으로 데이터 침해 또는 손실을 초래할 수 있는 취약점입니다. 다음은 실제 예제와 설명이 포함된 PHP의 SQL 주입 공격을 방지하기 위한 단계별 가이드입니다.

1. SQL 인젝션 이해

SQL 삽입은 사용자 입력이 부적절하게 삭제되어 SQL 쿼리에 통합될 때 발생합니다. 예를 들어, 사용자가 악성 SQL 코드를 입력하면 쿼리를 조작하여 의도하지 않은 작업을 수행할 수 있습니다.

SQL 인젝션 예:

// Vulnerable Code
$user_id = $_GET['user_id'];
$query = "SELECT * FROM users WHERE id = $user_id";
$result = mysqli_query($conn, $query);

user_id가 1 또는 1=1로 설정된 경우 쿼리는 다음과 같습니다.

SELECT * FROM users WHERE id = 1 OR 1=1

1=1은 항상 true이기 때문에 이 쿼리는 사용자 테이블의 모든 행을 반환합니다.

2. 준비된 진술 사용

준비된 명령문은 SQL 삽입에 대한 핵심 방어 수단입니다. SQL 로직을 데이터에서 분리하고 사용자 입력이 실행 가능한 코드가 아닌 데이터로 처리되도록 합니다.

준비된 명령문과 함께 MySQLi 사용:

데이터베이스에 연결:

   $conn = new mysqli("localhost", "username", "password", "database");

   if ($conn->connect_error) {
       die("Connection failed: " . $conn->connect_error);
   }

SQL 문 준비:

   $stmt = $conn->prepare("SELECT * FROM users WHERE id = ?");

바인딩 매개변수:

   $stmt->bind_param("i", $user_id); // "i" indicates the type is integer

성명 실행:

   $user_id = $_GET['user_id'];
   $stmt->execute();

결과 가져오기:

   $result = $stmt->get_result();
   while ($row = $result->fetch_assoc()) {
       // Process results
   }

문 및 연결 닫기:

   $stmt->close();
   $conn->close();

전체 예:

<?php // Database connection
$conn = new mysqli("localhost", "username", "password", "database");

if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// Prepare statement
$stmt = $conn->prepare("SELECT * FROM users WHERE id = ?");
if ($stmt === false) {
    die("Prepare failed: " . $conn->error);
}

// Bind parameters
$user_id = $_GET['user_id'];
$stmt->bind_param("i", $user_id);

// Execute statement
$stmt->execute();

// Get results
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    echo "User ID: " . $row['id'] . "<br>";
    echo "User Name: " . $row['name'] . "<br>";
}

// Close statement and connection
$stmt->close();
$conn->close();
?>

3. 준비된 진술과 함께 PDO 사용

PDO(PHP 데이터 개체)는 SQL 삽입에 대한 유사한 보호 기능을 제공하고 여러 데이터베이스 시스템을 지원합니다.

준비된 명령문과 함께 PDO 사용:

데이터베이스에 연결:

   try {
       $pdo = new PDO("mysql:host=localhost;dbname=database", "username", "password");
       $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   } catch (PDOException $e) {
       die("Connection failed: " . $e->getMessage());
   }

SQL 문 준비:

   $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");

매개변수 바인딩 및 실행:

   $stmt->bindParam(':id', $user_id, PDO::PARAM_INT);
   $user_id = $_GET['user_id'];
   $stmt->execute();

결과 가져오기:

   $results = $stmt->fetchAll(PDO::FETCH_ASSOC);
   foreach ($results as $row) {
       echo "User ID: " . $row['id'] . "<br>";
       echo "User Name: " . $row['name'] . "<br>";
   }

전체 예:

setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // Prepare statement
    $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");

    // Bind parameters
    $user_id = $_GET['user_id'];
    $stmt->bindParam(':id', $user_id, PDO::PARAM_INT);

    // Execute statement
    $stmt->execute();

    // Fetch results
    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);
    foreach ($results as $row) {
        echo "User ID: " . $row['id'] . "
";
        echo "User Name: " . $row['name'] . "
";
    }

} catch (PDOException $e) {
    die("Error: " . $e->getMessage());
}
?>

4. 추가 보안 관행

입력 삭제: 항상 사용자 입력을 삭제하고 검증하여 예상 형식인지 확인하세요.
ORM 사용: Eloquent(Laravel)와 같은 객체 관계형 매퍼는 내부적으로 SQL 주입 방지를 처리합니다.
데이터베이스 권한 제한: 데이터베이스 사용자 계정에 대해 최소 권한 원칙을 사용합니다.

5. 결론

SQL 주입 공격을 차단하는 것은 PHP 애플리케이션 보안에 매우 중요합니다. MySQLi 또는 PDO와 함께 준비된 문을 사용하면 사용자 입력이 안전하게 처리되고 SQL 쿼리의 일부로 실행되지 않도록 할 수 있습니다. 이러한 모범 사례를 따르면 가장 일반적인 웹 취약점 중 하나로부터 애플리케이션을 보호하는 데 도움이 됩니다.

위 내용은 SQL 주입 공격으로부터 PHP 애플리케이션 보호의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

11 최고의 PHP URL 쇼트너 스크립트 (무료 및 프리미엄)Mar 03, 2025 am 10:49 AM

종종 키워드와 추적 매개 변수로 혼란스러워하는 긴 URL은 방문자를 방해 할 수 있습니다. URL 단축 스크립트는 솔루션을 제공하여 소셜 미디어 및 기타 플랫폼에 이상적인 간결한 링크를 만듭니다. 이 스크립트는 개별 웹 사이트 a에 유용합니다

Laravel의 플래시 세션 데이터로 작업합니다Mar 12, 2025 pm 05:08 PM

Laravel은 직관적 인 플래시 방법을 사용하여 임시 세션 데이터 처리를 단순화합니다. 응용 프로그램에 간단한 메시지, 경고 또는 알림을 표시하는 데 적합합니다. 데이터는 기본적으로 후속 요청에만 지속됩니다. $ 요청-

Laravel Back End : Part 2, React가있는 React 앱 구축Mar 04, 2025 am 09:33 AM

이것은 Laravel 백엔드가있는 React Application을 구축하는 데있어 시리즈의 두 번째이자 마지막 부분입니다. 이 시리즈의 첫 번째 부분에서는 기본 제품 목록 응용 프로그램을 위해 Laravel을 사용하여 편안한 API를 만들었습니다. 이 튜토리얼에서는 Dev가 될 것입니다

Laravel 테스트에서 단순화 된 HTTP 응답 조롱Mar 12, 2025 pm 05:09 PM

Laravel은 간결한 HTTP 응답 시뮬레이션 구문을 제공하여 HTTP 상호 작용 테스트를 단순화합니다. 이 접근법은 테스트 시뮬레이션을보다 직관적으로 만들면서 코드 중복성을 크게 줄입니다. 기본 구현은 다양한 응답 유형 단축키를 제공합니다. Illuminate \ support \ Facades \ http를 사용하십시오. http :: 가짜 ([ 'google.com'=> 'Hello World', 'github.com'=> [ 'foo'=> 'bar'], 'forge.laravel.com'=>

PHP의 컬 : REST API에서 PHP Curl Extension 사용 방법Mar 14, 2025 am 11:42 AM

PHP 클라이언트 URL (CURL) 확장자는 개발자를위한 강력한 도구이며 원격 서버 및 REST API와의 원활한 상호 작용을 가능하게합니다. PHP CURL은 존경받는 다중 프로모토콜 파일 전송 라이브러리 인 Libcurl을 활용하여 효율적인 execu를 용이하게합니다.