SQL 주입이 POST 및 GET 요청을 넘어설 수 있습니까?

SQL 주입은 POST 및 GET 요청 외에도 발생할 수 있습니까?

SQL 주입은 사용자 입력을 통합하기 전에 부적절하게 삭제하는 웹 애플리케이션의 취약점을 악용합니다. SQL 쿼리. POST 및 GET 방법이 이 공격에 대한 일반적인 방법이지만 SQL 주입은 다른 방법을 통해서도 발생할 수 있습니다.

제공된 코드에서 mysql_real_escape_string은 사용자 입력을 인코딩하는 데 사용되어 SQL 주입 위험을 완화합니다. 그러나 코드의 보안은 이 인코딩의 일관된 적용에 크게 의존합니다.

예제 코드 검토

1. POST 메서드

코드 예제는 사용자 입력으로 변수를 초기화합니다.

$name = trim($_POST['username']);
$mail = trim($_POST['email']);
$password = trim($_POST['password ']);

사용자 정보를 데이터베이스에 저장하기 전에 적절하게 인코딩됩니다.

$sql =
"INSERT INTO
   clients
 SET
   name='" . mysql_real_escape_string($name) . "',
   mail='" . mysql_real_escape_string($mail) . "',
   password='" . mysql_real_escape_string(sha1($password)) . "'";

2. GET 메서드

변수는 URL에서 초기화됩니다.

$videoID = trim($_GET['videoID']);
$userID = trim($_GET['userID']);

다시 SQL 쿼리는 적절한 인코딩을 사용합니다.

$sql =
"SELECT
   videoID
 FROM
   likes
 WHERE
   videoID = '" . mysql_real_escape_string($videoID) . "' AND UID = '" . mysql_real_escape_string($userID) . "' LIMIT 1";

결론

제공하신 코드에는 SQL 삽입이 포함되어 있지 않습니다. 사용자 입력을 인코딩하기 위해 mysql_real_escape_string을 일관되게 사용함으로써 발생하는 취약점입니다. 소스에 관계없이 모든 사용자 입력에 인코딩을 신중하게 적용해야 한다는 점에 유의해야 합니다. 보안을 더욱 강화하려면 준비된 문과 함께 PDO를 사용하는 보다 현대적인 접근 방식을 채택하는 것이 좋습니다.

위 내용은 SQL 주입이 POST 및 GET 요청을 넘어설 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!