>백엔드 개발 >PHP 튜토리얼 >MySQLi의 매개변수화된 쿼리는 어떻게 SQL 주입 취약점으로부터 PHP 애플리케이션을 보호할 수 있습니까?

MySQLi의 매개변수화된 쿼리는 어떻게 SQL 주입 취약점으로부터 PHP 애플리케이션을 보호할 수 있습니까?

Barbara Streisand
Barbara Streisand원래의
2024-10-29 09:39:021069검색

How can parameterized queries in MySQLi protect PHP applications from SQL injection vulnerabilities?

효율적이고 안전한 쿼리를 위해 MySQLi의 매개변수 활용

PHP 데이터베이스 프로그래밍 영역에서 MySQLi 인터페이스를 통해 MySQL로 작업할 때, 쿼리에 동적 매개변수가 포함되는 시나리오가 발생하는 것이 일반적입니다. 다음 예를 고려하십시오.

SELECT $fields FROM $table WHERE $this = $that AND $this2 = $that2

SQL 문자열에 값을 삽입하여 이러한 쿼리를 수동으로 구성하려면 다음과 같이 하면 됩니다.

$search = array('name' => 'michael', 'age' => 20);
$query = "SELECT $fields FROM $table WHERE name = '$search[name]' AND age = '$search[age]'";

그러나 이 접근 방식은 다음에 대한 우려를 불러일으킵니다. SQL 주입 취약점. 이 문제를 해결하기 위해 MySQLi는 매개변수화된 쿼리를 사용하는 강력한 솔루션을 제공합니다.

매개변수화된 쿼리의 힘

매개변수화된 쿼리를 사용하면 SQL 문 자체와 별도로 쿼리 매개변수를 전달할 수 있습니다. . 이는 사용자 입력을 악용할 수 있는 악성 코드 실행을 방지하여 보안을 크게 향상시킵니다. 위 예에 대한 매개변수화된 쿼리는 다음과 같습니다.

$db = new mysqli(...);
$name = 'michael';
$age = 20;

$stmt = $db->prepare("SELECT $fields FROm $table WHERE name = ? AND age = ?");
$stmt->bind_param("si", $name, $age);
$stmt->execute();
$stmt->close();

자세한 설명

  1. 문 준비: prepare 메소드는 SQL 쿼리를 나타내는 명령문 객체를 초기화합니다. 여기에는 나중에 바인딩할 매개변수에 대한 자리 표시자가 포함되어 있습니다.
  2. 매개 변수 바인딩: bind_param 메소드는 문의 자리 표시자를 실제 매개변수 값과 연결하여 유형 안전성을 보장하고 강제 변환을 방지합니다.
  3. 문 실행: 실행 메소드는 바인딩된 매개변수로 준비된 문을 실행하여 결과 집합을 검색합니다.
  4. 문 닫기: 실행 후, close를 사용하여 문 개체가 보유한 리소스를 해제하는 것이 중요합니다.

추가 팁

  • 다음을 제공하는 PDO(PHP Data Objects) 사용을 고려하세요. 다양한 데이터베이스 시스템과 작업하기 위한 더욱 통합되고 일관된 API로 매개변수화된 쿼리 처리를 단순화합니다.
  • 잠재적인 악의적 시도를 완화하려면 항상 사용자 입력의 유효성을 검사하세요.

위 내용은 MySQLi의 매개변수화된 쿼리는 어떻게 SQL 주입 취약점으로부터 PHP 애플리케이션을 보호할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.