문제 설명:
사용자가 입력한 데이터가 처리되지 않은 채 SQL 쿼리 문에 삽입되면 다음 예와 같이 애플리케이션이 SQL 주입 공격을 받을 가능성이 높습니다.
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')")
사용자 입력은 다음과 같을 수 있습니다.
value'); DROP TABLE 테이블;--
그러면 SQL 쿼리는 다음과 같습니다.
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
SQL 주입을 방지하려면 어떤 효과적인 방법을 사용해야 합니까?
최고의 답변(Theo):
준비된 문과 매개변수화된 쿼리를 사용하세요. 준비된 구문과 매개변수는 각각 데이터베이스 서버로 전송되어 구문 분석되며, 매개변수는 일반 문자로 처리됩니다. 이 접근 방식은 공격자가 악의적인 SQL을 삽입하는 것을 방지합니다. 이 방법을 구현하는 데는 두 가지 옵션이 있습니다.
1. PDO 사용:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array('name' => $name)); foreach ($stmt as $row) { // do something with $row }
2 mysqli 사용:
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }
기본적으로 PDO를 사용하면 MySQL 데이터베이스가 실제 준비된 명령문을 실행할 수 없습니다(이유는 아래 참조). 이 문제를 해결하려면 준비된 문의 PDO 에뮬레이션을 비활성화해야 합니다. PDO를 올바르게 사용하여 데이터베이스 연결을 생성하는 예는 다음과 같습니다.
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
위 예에서 오류 보고 모드(ATTR_ERRMODE)는 필요하지 않지만 추가하는 것이 좋습니다. . 이런 방식으로 치명적인 오류(Fatal Error)가 발생하면 스크립트 실행이 중지되지 않지만 프로그래머에게 오류가 적절하게 처리될 수 있도록 PDOException을 포착할 수 있는 기회가 제공됩니다. 그러나 첫 번째 setAttribute() 호출이 필요합니다. 이는 PDO가 준비된 문을 시뮬레이션하는 것을 비활성화하고 실제 준비된 문을 사용합니다. 즉, MySQL은 준비된 문을 실행합니다. 이렇게 하면 명령문과 매개변수가 MySQL로 전송되기 전에 PHP에서 처리되지 않아 공격자가 악성 SQL을 삽입하는 것을 방지할 수 있습니다. 이유를 이해하려면 블로그 게시물인 PDO 주입 방지 원리 분석 및 PDO 사용 시 주의 사항을 참조하세요. 이전 버전의 PHP(
파싱
전처리 및 파싱을 위해 SQL 문을 데이터베이스 서버로 보내면 어떻게 되나요? 자리 표시자(위 예에서와 같이 ? 또는 :name)를 지정하여 필터링할 위치를 데이터베이스 엔진에 알립니다. Execute를 호출하면 준비된 문이 지정한 매개변수 값과 결합됩니다. 여기서 중요한 점은 매개변수 값이 SQL 문자열이 아닌 구문 분석된 SQL 문과 결합된다는 것입니다. SQL 주입은 SQL 문을 생성할 때 악성 문자열이 포함된 스크립트에 의해 트리거됩니다. 따라서 SQL문과 매개변수를 분리함으로써 SQL 인젝션의 위험을 예방할 수 있습니다. 귀하가 보내는 모든 매개변수 값은 일반 문자열로 처리되며 데이터베이스 서버에서 구문 분석되지 않습니다. 위의 예시로 돌아가면, $name 변수의 값이 'Sarah'; DELETE FROM 직원인 경우 실제 쿼리는 이름 필드 값이 'Sarah'인 직원의 레코드를 찾는 것입니다. 준비된 문을 사용하는 또 다른 이점은 동일한 데이터베이스 연결 세션에서 동일한 문을 여러 번 실행하는 경우 한 번만 구문 분석되므로 실행 속도가 약간 향상될 수 있다는 것입니다. 삽입 방법이 궁금하시다면 다음 예시(PDO 사용)를 참고해주세요:
$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)'); $preparedStatement->execute(array('column' => $unsafeValue));