준비된 명령문 및 매개 변수화 된 쿼리는 PHP 응용 프로그램에서 SQL 주입을 어떻게 방지 할 수 있습니까?-MySQL 튜토리얼-php.cn

집

데이터 베이스

MySQL 튜토리얼

준비된 명령문 및 매개 변수화 된 쿼리는 PHP 응용 프로그램에서 SQL 주입을 어떻게 방지 할 수 있습니까?

Patricia Arquette

Jan 25, 2025 pm 10:22 PM

How Can Prepared Statements and Parameterized Queries Prevent SQL Injection in PHP Applications?

SQL 주입으로부터 PHP 애플리케이션 보호

소개

SQL 주입은 SQL 쿼리 내에서 사용자 입력을 처리하는 애플리케이션에 여전히 심각한 위협으로 남아 있습니다. 공격자는 취약점을 악용하여 악성 명령을 주입하여 잠재적으로 전체 데이터베이스를 손상시킵니다. 이 문서에서는 PHP에서 SQL 삽입을 방지하는 강력한 방법을 자세히 설명합니다.

SQL 주입 위협 이해

SQL 삽입 공격은 확인되지 않은 사용자 입력이 SQL 쿼리에 직접 영향을 미칠 때 발생합니다. 예:

$userInput = $_POST['user_input'];
mysql_query("INSERT INTO users (username) VALUES ('$userInput')");

$userInput에 '; DROP TABLE users; --과 같은 악성 코드가 포함되어 있는 경우 데이터베이스는 이 파괴적인 명령을 실행합니다.

효과적인 예방 전략

1. 준비된 명령문과 매개변수화된 쿼리: 방어의 초석

핵심 원칙은 SQL 쿼리 구조에서 데이터를 분리하는 것입니다. 준비된 문(또는 매개변수화된 쿼리)은 다음을 통해 이를 달성합니다.

쿼리/데이터 분리: 데이터베이스 서버는 데이터 값과 독립적으로 SQL 쿼리를 구문 분석합니다.
문자열 데이터: 모든 데이터를 리터럴 문자열로 처리하여 악성 SQL 코드를 무력화합니다.

PDO(PHP 데이터 개체) 사용: 권장 접근 방식

PDO는 다양한 데이터베이스 시스템 전반에 걸쳐 일관된 인터페이스를 제공합니다. 준비된 명령문과 함께 PDO를 사용하는 방법은 다음과 같습니다.

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process each row
}

MySQLi(MySQL 개선): MySQL의 대안

MySQLi는 매개변수화된 쿼리를 실행하는 두 가지 방법을 제공합니다.

execute_query()(PHP 8.2 이상):

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process each row
}

prepare() 및 execute():

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes a string parameter
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process each row
}

2. 데이터베이스 연결 모범 사례

PDO:

최적의 보안을 위해 에뮬레이트된 준비된 문을 비활성화합니다.

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

MySQLi:

강력한 오류 보고를 활성화하고 문자 집합을 지정합니다.

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('localhost', 'username', 'password', 'database');
$dbConnection->set_charset('utf8mb4');

3. 추가 보안 고려 사항

동적 쿼리: 준비된 문은 데이터 매개변수를 처리하지만 쿼리 구조 자체는 매개변수화할 수 없습니다. 동적 쿼리의 경우 화이트리스트를 사용하여 허용되는 값을 제한하세요.

결론

SQL 주입으로부터 PHP 애플리케이션을 보호하려면 준비된 명령문을 구현하고 데이터베이스 연결 모범 사례를 따르는 것이 중요합니다. SQL 쿼리 내에서 데이터 분리의 우선순위를 정하면 데이터베이스 무결성과 애플리케이션 보안이 보장됩니다.

위 내용은 준비된 명령문 및 매개 변수화 된 쿼리는 PHP 응용 프로그램에서 SQL 주입을 어떻게 방지 할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

MySQL Blob : 한계가 있습니까?May 08, 2025 am 12:22 AM

mysqlblobshavelimits : tinyblob (255bodes), blob (65,535 bytes), mediumblob (16,777,215 bctes), andlongblob (4,294,967,295 Bytes) .tousebl obseffectical : 1) 고려 사항을 고려합니다

MySQL : 사용자 생성을 자동화하는 가장 좋은 도구는 무엇입니까?May 08, 2025 am 12:22 AM

MySQL에서 사용자 생성을 자동화하기위한 최고의 도구 및 기술은 다음과 같습니다. 1. MySQLworkBench, 중소형 환경에 적합하고 사용하기 쉽지만 자원 소비가 높습니다. 2. 다중 서버 환경에 적합한 Ansible, 간단하지만 가파른 학습 곡선; 3. 사용자 정의 파이썬 스크립트, 유연하지만 스크립트 보안을 보장해야합니다. 4. 꼭두각시와 요리사는 대규모 환경에 적합하며 복잡하지만 확장 가능합니다. 선택할 때 척도, 학습 곡선 및 통합 요구를 고려해야합니다.

MySQL : 블로브 내부를 검색 할 수 있습니까?May 08, 2025 am 12:20 AM

예, youcansearchinsideablobinmysqlusingspecifictechniques.1) converttheblobtoautf-8stringwithConvertFunctionandSearchusing

MySQL 문자열 데이터 유형 : 포괄적 인 가이드May 08, 2025 am 12:14 AM

mysqloffersvariousStringDatatatypes : 1) charfixed-lengthstrings, 이상적인 원인이 길이의 길이가 길이 스트링스, 적합한 포르 플리드 슬리 키나 이름; 3) TextTypesforlargerText, goodforblogpostsbutcactperformance;

MySQL Blobs 마스터 링 : 단계별 자습서May 08, 2025 am 12:01 AM

TomasterMySQLBLOBs,followthesesteps:1)ChoosetheappropriateBLOBtype(TINYBLOB,BLOB,MEDIUMBLOB,LONGBLOB)basedondatasize.2)InsertdatausingLOAD_FILEforefficiency.3)Storefilereferencesinsteadoffilestoimproveperformance.4)UseDUMPFILEtoretrieveandsaveBLOBsco

MySQL의 Blob Data Type : 개발자를위한 상세한 개요May 07, 2025 pm 05:41 PM

blobdatatypesinmysqlareusedforvoringlargebinarydatalikeimagesoraudio.1) useblobtypes (tinyblobtolongblob) 기반 론다 타지 세인. 2) StoreBlobsin perplate petooptimize 성능.

명령 줄에서 MySQL에 사용자를 추가하는 방법May 07, 2025 pm 05:01 PM

toadduserstomysqlfromthecommandline, loginasroot, whenUseCreateUser'Username '@'host'IdentifiedBy'Password '; toCreateAwUser.grantPerMissionswithGrantAllilegesOndatabase

MySQL의 다른 문자열 데이터 유형은 무엇입니까? 자세한 개요May 07, 2025 pm 03:33 PM

mysqlofferSeightStringDatatatypes : char, varchar, binary, varbinary, blob, text, enum and set.1) charisfix-length, 2) varcharisvariable-length, 효율적 인 datalikenames.3) binaryandvarbinary-binary Binary Binary Binary Binary Binary Binary Binary-Binary

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

SublimeText3 영어 버전

권장 사항: Win 버전, 코드 프롬프트 지원!

SecList

SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.