준비된 명령문 및 매개 변수화 된 쿼리는 PHP 응용 프로그램에서 SQL 주입을 어떻게 방지 할 수 있습니까?-MySQL 튜토리얼-php.cn

집

데이터 베이스

MySQL 튜토리얼

준비된 명령문 및 매개 변수화 된 쿼리는 PHP 응용 프로그램에서 SQL 주입을 어떻게 방지 할 수 있습니까?

Patricia Arquette

Jan 25, 2025 pm 10:22 PM

How Can Prepared Statements and Parameterized Queries Prevent SQL Injection in PHP Applications?

SQL 주입으로부터 PHP 애플리케이션 보호

소개

SQL 주입은 SQL 쿼리 내에서 사용자 입력을 처리하는 애플리케이션에 여전히 심각한 위협으로 남아 있습니다. 공격자는 취약점을 악용하여 악성 명령을 주입하여 잠재적으로 전체 데이터베이스를 손상시킵니다. 이 문서에서는 PHP에서 SQL 삽입을 방지하는 강력한 방법을 자세히 설명합니다.

SQL 주입 위협 이해

SQL 삽입 공격은 확인되지 않은 사용자 입력이 SQL 쿼리에 직접 영향을 미칠 때 발생합니다. 예:

$userInput = $_POST['user_input'];
mysql_query("INSERT INTO users (username) VALUES ('$userInput')");

$userInput에 '; DROP TABLE users; --과 같은 악성 코드가 포함되어 있는 경우 데이터베이스는 이 파괴적인 명령을 실행합니다.

효과적인 예방 전략

1. 준비된 명령문과 매개변수화된 쿼리: 방어의 초석

핵심 원칙은 SQL 쿼리 구조에서 데이터를 분리하는 것입니다. 준비된 문(또는 매개변수화된 쿼리)은 다음을 통해 이를 달성합니다.

쿼리/데이터 분리: 데이터베이스 서버는 데이터 값과 독립적으로 SQL 쿼리를 구문 분석합니다.
문자열 데이터: 모든 데이터를 리터럴 문자열로 처리하여 악성 SQL 코드를 무력화합니다.

PDO(PHP 데이터 개체) 사용: 권장 접근 방식

PDO는 다양한 데이터베이스 시스템 전반에 걸쳐 일관된 인터페이스를 제공합니다. 준비된 명령문과 함께 PDO를 사용하는 방법은 다음과 같습니다.

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process each row
}

MySQLi(MySQL 개선): MySQL의 대안

MySQLi는 매개변수화된 쿼리를 실행하는 두 가지 방법을 제공합니다.

execute_query()(PHP 8.2 이상):

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process each row
}

prepare() 및 execute():

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes a string parameter
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process each row
}

2. 데이터베이스 연결 모범 사례

PDO:

최적의 보안을 위해 에뮬레이트된 준비된 문을 비활성화합니다.

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

MySQLi:

강력한 오류 보고를 활성화하고 문자 집합을 지정합니다.

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('localhost', 'username', 'password', 'database');
$dbConnection->set_charset('utf8mb4');

3. 추가 보안 고려 사항

동적 쿼리: 준비된 문은 데이터 매개변수를 처리하지만 쿼리 구조 자체는 매개변수화할 수 없습니다. 동적 쿼리의 경우 화이트리스트를 사용하여 허용되는 값을 제한하세요.

결론

SQL 주입으로부터 PHP 애플리케이션을 보호하려면 준비된 명령문을 구현하고 데이터베이스 연결 모범 사례를 따르는 것이 중요합니다. SQL 쿼리 내에서 데이터 분리의 우선순위를 정하면 데이터베이스 무결성과 애플리케이션 보안이 보장됩니다.

위 내용은 준비된 명령문 및 매개 변수화 된 쿼리는 PHP 응용 프로그램에서 SQL 주입을 어떻게 방지 할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

Alter Table 문을 사용하여 MySQL에서 테이블을 어떻게 변경합니까?Mar 19, 2025 pm 03:51 PM

이 기사는 MySQL의 Alter Table 문을 사용하여 열 추가/드롭 테이블/열 변경 및 열 데이터 유형 변경을 포함하여 테이블을 수정하는 것에 대해 설명합니다.

MySQL 연결에 대한 SSL/TLS 암호화를 어떻게 구성합니까?Mar 18, 2025 pm 12:01 PM

기사는 인증서 생성 및 확인을 포함하여 MySQL에 대한 SSL/TLS 암호화 구성에 대해 설명합니다. 주요 문제는 자체 서명 인증서의 보안 영향을 사용하는 것입니다. [문자 수 : 159]

MySQL에서 큰 데이터 세트를 어떻게 처리합니까?Mar 21, 2025 pm 12:15 PM

기사는 MySQL에서 파티셔닝, 샤딩, 인덱싱 및 쿼리 최적화를 포함하여 대규모 데이터 세트를 처리하기위한 전략에 대해 설명합니다.

인기있는 MySQL GUI 도구는 무엇입니까 (예 : MySQL Workbench, Phpmyadmin)?

기사는 MySQL Workbench 및 Phpmyadmin과 같은 인기있는 MySQL GUI 도구에 대해 논의하여 초보자 및 고급 사용자를위한 기능과 적합성을 비교합니다. [159 자].

드롭 테이블 문을 사용하여 MySQL에서 테이블을 어떻게 드롭합니까?Mar 19, 2025 pm 03:52 PM

이 기사에서는 Drop Table 문을 사용하여 MySQL에서 테이블을 떨어 뜨리는 것에 대해 설명하여 예방 조치와 위험을 강조합니다. 백업 없이는 행동이 돌이킬 수 없으며 복구 방법 및 잠재적 생산 환경 위험을 상세하게합니다.

외국 키를 사용하여 관계를 어떻게 표현합니까?Mar 19, 2025 pm 03:48 PM

기사는 외국 열쇠를 사용하여 데이터베이스의 관계를 나타내고 모범 사례, 데이터 무결성 및 피할 수있는 일반적인 함정에 중점을 둡니다.

JSON 열에서 인덱스를 어떻게 생성합니까?Mar 21, 2025 pm 12:13 PM

이 기사에서는 PostgreSQL, MySQL 및 MongoDB와 같은 다양한 데이터베이스에서 JSON 열에서 인덱스를 작성하여 쿼리 성능을 향상시킵니다. 특정 JSON 경로를 인덱싱하는 구문 및 이점을 설명하고 지원되는 데이터베이스 시스템을 나열합니다.

일반적인 취약점 (SQL 주입, 무차별 적 공격)에 대해 MySQL을 어떻게 보호합니까?Mar 18, 2025 pm 12:00 PM

기사는 준비된 명령문, 입력 검증 및 강력한 암호 정책을 사용하여 SQL 주입 및 무차별 적 공격에 대한 MySQL 보안에 대해 논의합니다 (159 자)

See all articles

핫 AI 도구

뜨거운 도구

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.

안전한 시험 브라우저

안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.

Eclipse용 SAP NetWeaver 서버 어댑터

Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.

SublimeText3 영어 버전

권장 사항: Win 버전, 코드 프롬프트 지원!

mPDF

mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.