이 기사에서는 PHP에서 SQL 주입을 방지하는 방법을 예제를 통해 분석합니다. 참고할 수 있도록 모든 사람과 공유하세요. 구체적인 분석은 다음과 같습니다.
1. 문제 설명:
사용자가 입력한 데이터를 처리하지 않고 SQL 쿼리 문에 삽입하면 다음 예와 같이 애플리케이션이 SQL 주입 공격을 받을 가능성이 높습니다.
mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");
2. 솔루션 분석:
준비된 문과 매개변수화된 쿼리를 사용하세요. 준비된 구문과 매개변수는 각각 데이터베이스 서버로 전송되어 구문 분석되며, 매개변수는 일반 문자로 처리됩니다. 이 접근 방식은 공격자가 악의적인 SQL을 삽입하는 것을 방지합니다. 이 방법을 구현하는 데는 두 가지 옵션이 있습니다.
1. PDO 사용:
foreach($stmt를 $row로) {
// $row로 뭔가를 하세요
}
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// $row로 뭔가를 하세요
}
기본적으로 PDO를 사용하면 MySQL 데이터베이스가 실제 준비된 명령문을 실행할 수 없습니다(이유는 아래 참조). 이 문제를 해결하려면 준비된 문의 PDO 에뮬레이션을 비활성화해야 합니다. PDO를 올바르게 사용하여 데이터베이스 연결을 생성하는 예는 다음과 같습니다.
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
위의 예에서는 오류 보고 모드(ATTR_ERRMODE)가 필수는 아니지만 추가하는 것이 좋습니다. 이런 방식으로 치명적인 오류(Fatal Error)가 발생하면 스크립트 실행이 중지되지 않지만 프로그래머에게 오류가 적절하게 처리될 수 있도록 PDOException을 포착할 수 있는 기회가 제공됩니다. 그러나 PDO가 준비된 문을 시뮬레이션하는 것을 비활성화하고 실제 준비된 문을 사용하는 첫 번째 setAttribute() 호출이 필요합니다. 즉, MySQL은 준비된 문을 실행합니다. 이렇게 하면 명령문과 매개변수가 MySQL로 전송되기 전에 PHP에서 처리되지 않아 공격자가 악성 SQL을 삽입하는 것을 방지할 수 있습니다. 그 이유를 알아보시려면 이전 글 PDO 안티인젝션 원리 분석 및 PDO 사용 시 주의사항 을 참고하시기 바랍니다. 이전 버전의 PHP(문자 세트 매개변수를 자동으로 무시했습니다를 참조하세요.
4. 분석
전처리 및 구문 분석을 위해 SQL 문을 데이터베이스 서버로 보내면 어떻게 되나요? 자리 표시자(위 예에서와 같이 ? 또는 :name)를 지정하여 필터링할 위치를 데이터베이스 엔진에 알립니다. Execute를 호출하면 준비된 문이 지정한 매개변수 값과 결합됩니다. 여기서 중요한 점은 매개변수 값이 SQL 문자열이 아닌 구문 분석된 SQL 문과 결합된다는 것입니다. SQL 주입은 SQL 문을 생성할 때 악성 문자열이 포함된 스크립트에 의해 트리거됩니다. 따라서 SQL문과 매개변수를 분리함으로써 SQL 인젝션의 위험을 예방할 수 있습니다. 귀하가 보내는 모든 매개변수 값은 일반 문자열로 처리되며 데이터베이스 서버에서 구문 분석되지 않습니다. 위의 예로 돌아가서 $name 변수의 값이 'Sarah'; DELETE FROM 직원인 경우 실제 쿼리는 이름 필드 값이 'Sarah'인 직원의 레코드를 찾는 것입니다. 준비된 문을 사용하는 또 다른 이점은 동일한 데이터베이스 연결 세션에서 동일한 문을 여러 번 실행하는 경우 한 번만 구문 분석되므로 실행 속도가 약간 향상될 수 있다는 것입니다. 삽입 방법이 궁금하시다면 다음 예시(PDO 사용)를 참고해주세요.
$preparedStatement->execute(array('column' => $unsafeValue));
이 기사가 모든 사람의 PHP 프로그래밍 설계에 도움이 되기를 바랍니다.
php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PMphp把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。
php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。
php字符串有没有下标Apr 24, 2022 am 11:49 AMphp字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。
php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PMphp除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。
php怎么读取字符串后几个字符Apr 22, 2022 pm 08:31 PM在php中,可以使用substr()函数来读取字符串后几个字符,只需要将该函数的第二个参数设置为负值,第三个参数省略即可;语法为“substr(字符串,-n)”,表示读取从字符串结尾处向前数第n个字符开始,直到字符串结尾的全部字符。
php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。
php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM方法:1、用“str_replace(" ","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\ \;||\xc2\xa0)/","其他字符",$str)”语句。
php怎么查找字符串是第几位Apr 22, 2022 pm 06:48 PM查找方法:1、用strpos(),语法“strpos("字符串值","查找子串")+1”;2、用stripos(),语法“strpos("字符串值","查找子串")+1”。因为字符串是从0开始计数的,因此两个函数获取的位置需要进行加1处理。
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
뜨거운 주제
1371
523819