PHP에서 SQL 주입을 방지하는 방법-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP에서 SQL 주입을 방지하는 방법

伊谢尔伦

Nov 24, 2016 pm 02:35 PM

phpsqlSQL 주입

문제 설명:
사용자가 입력한 데이터가 처리되지 않은 채 SQL 쿼리 문에 삽입되면 다음 예와 같이 애플리케이션이 SQL 주입 공격을 받을 가능성이 높습니다.

$unsafe_variable = $_POST[&#39;user_input&#39;];

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')")
사용자 입력은 다음과 같을 수 있습니다.

value'); DROP TABLE 테이블;--
그러면 SQL 쿼리는 다음과 같습니다.

INSERT INTO `table` (`column`) VALUES(&#39;value&#39;); DROP TABLE table;--&#39;)

SQL 주입을 방지하려면 어떤 효과적인 방법을 사용해야 합니까?

최고의 답변(Theo):
준비된 문과 매개변수화된 쿼리를 사용하세요. 준비된 구문과 매개변수는 각각 데이터베이스 서버로 전송되어 구문 분석되며, 매개변수는 일반 문자로 처리됩니다. 이 접근 방식은 공격자가 악의적인 SQL을 삽입하는 것을 방지합니다. 이 방법을 구현하는 데는 두 가지 옵션이 있습니다.

1. PDO 사용:

$stmt = $pdo->prepare(&#39;SELECT * FROM employees WHERE name = :name&#39;);  
   
$stmt->execute(array(&#39;name&#39; => $name));  
   
foreach ($stmt as $row) {  
    // do something with $row  
}

2 mysqli 사용:

$stmt = $dbConnection->prepare(&#39;SELECT * FROM employees WHERE name = ?&#39;);  
$stmt->bind_param(&#39;s&#39;, $name);  
   
$stmt->execute();  
   
$result = $stmt->get_result();  
while ($row = $result->fetch_assoc()) {  
    // do something with $row  
}

기본적으로 PDO를 사용하면 MySQL 데이터베이스가 실제 준비된 명령문을 실행할 수 없습니다(이유는 아래 참조). 이 문제를 해결하려면 준비된 문의 PDO 에뮬레이션을 비활성화해야 합니다. PDO를 올바르게 사용하여 데이터베이스 연결을 생성하는 예는 다음과 같습니다.

$dbConnection = new PDO(&#39;mysql:dbname=dbtest;host=127.0.0.1;charset=utf8&#39;, &#39;user&#39;, &#39;pass&#39;);  
   
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);  
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

위 예에서 오류 보고 모드(ATTR_ERRMODE)는 필요하지 않지만 추가하는 것이 좋습니다. . 이런 방식으로 치명적인 오류(Fatal Error)가 발생하면 스크립트 실행이 중지되지 않지만 프로그래머에게 오류가 적절하게 처리될 수 있도록 PDOException을 포착할 수 있는 기회가 제공됩니다. 그러나 첫 번째 setAttribute() 호출이 필요합니다. 이는 PDO가 준비된 문을 시뮬레이션하는 것을 비활성화하고 실제 준비된 문을 사용합니다. 즉, MySQL은 준비된 문을 실행합니다. 이렇게 하면 명령문과 매개변수가 MySQL로 전송되기 전에 PHP에서 처리되지 않아 공격자가 악성 SQL을 삽입하는 것을 방지할 수 있습니다. 이유를 이해하려면 블로그 게시물인 PDO 주입 방지 원리 분석 및 PDO 사용 시 주의 사항을 참조하세요. 이전 버전의 PHP(
파싱
전처리 및 파싱을 위해 SQL 문을 데이터베이스 서버로 보내면 어떻게 되나요? 자리 표시자(위 예에서와 같이 ? 또는 :name)를 지정하여 필터링할 위치를 데이터베이스 엔진에 알립니다. Execute를 호출하면 준비된 문이 지정한 매개변수 값과 결합됩니다. 여기서 중요한 점은 매개변수 값이 SQL 문자열이 아닌 구문 분석된 SQL 문과 결합된다는 것입니다. SQL 주입은 SQL 문을 생성할 때 악성 문자열이 포함된 스크립트에 의해 트리거됩니다. 따라서 SQL문과 매개변수를 분리함으로써 SQL 인젝션의 위험을 예방할 수 있습니다. 귀하가 보내는 모든 매개변수 값은 일반 문자열로 처리되며 데이터베이스 서버에서 구문 분석되지 않습니다. 위의 예시로 돌아가면, $name 변수의 값이 'Sarah'; DELETE FROM 직원인 경우 실제 쿼리는 이름 필드 값이 'Sarah'인 직원의 레코드를 찾는 것입니다. 준비된 문을 사용하는 또 다른 이점은 동일한 데이터베이스 연결 세션에서 동일한 문을 여러 번 실행하는 경우 한 번만 구문 분석되므로 실행 속도가 약간 향상될 수 있다는 것입니다. 삽입 방법이 궁금하시다면 다음 예시(PDO 사용)를 참고해주세요:

$preparedStatement = $db->prepare(&#39;INSERT INTO table (column) VALUES (:column)&#39;);  
   
$preparedStatement->execute(array(&#39;column&#39; => $unsafeValue));

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP의 목적 : 동적 웹 사이트 구축Apr 15, 2025 am 12:18 AM

PHP는 동적 웹 사이트를 구축하는 데 사용되며 해당 핵심 기능에는 다음이 포함됩니다. 1. 데이터베이스와 연결하여 동적 컨텐츠를 생성하고 웹 페이지를 실시간으로 생성합니다. 2. 사용자 상호 작용 및 양식 제출을 처리하고 입력을 확인하고 작업에 응답합니다. 3. 개인화 된 경험을 제공하기 위해 세션 및 사용자 인증을 관리합니다. 4. 성능을 최적화하고 모범 사례를 따라 웹 사이트 효율성 및 보안을 개선하십시오.

PHP : 데이터베이스 및 서버 측 로직 처리Apr 15, 2025 am 12:15 AM

PHP는 MySQLI 및 PDO 확장 기능을 사용하여 데이터베이스 작업 및 서버 측 로직 프로세싱에서 상호 작용하고 세션 관리와 같은 기능을 통해 서버 측로 로직을 처리합니다. 1) MySQLI 또는 PDO를 사용하여 데이터베이스에 연결하고 SQL 쿼리를 실행하십시오. 2) 세션 관리 및 기타 기능을 통해 HTTP 요청 및 사용자 상태를 처리합니다. 3) 트랜잭션을 사용하여 데이터베이스 작업의 원자력을 보장하십시오. 4) SQL 주입 방지, 디버깅을 위해 예외 처리 및 폐쇄 연결을 사용하십시오. 5) 인덱싱 및 캐시를 통해 성능을 최적화하고, 읽을 수있는 코드를 작성하고, 오류 처리를 수행하십시오.

PHP에서 SQL 주입을 어떻게 방지합니까? (준비된 진술, pdo)Apr 15, 2025 am 12:15 AM

PHP에서 전처리 문과 PDO를 사용하면 SQL 주입 공격을 효과적으로 방지 할 수 있습니다. 1) PDO를 사용하여 데이터베이스에 연결하고 오류 모드를 설정하십시오. 2) 준비 방법을 통해 전처리 명세서를 작성하고 자리 표시자를 사용하여 데이터를 전달하고 방법을 실행하십시오. 3) 쿼리 결과를 처리하고 코드의 보안 및 성능을 보장합니다.

PHP 및 Python : 코드 예제 및 비교Apr 15, 2025 am 12:07 AM

PHP와 Python은 고유 한 장점과 단점이 있으며 선택은 프로젝트 요구와 개인 선호도에 달려 있습니다. 1.PHP는 대규모 웹 애플리케이션의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 데이터 과학 및 기계 학습 분야를 지배합니다.

PHP 실행 : 실제 예제 및 응용 프로그램Apr 14, 2025 am 12:19 AM

PHP는 전자 상거래, 컨텐츠 관리 시스템 및 API 개발에 널리 사용됩니다. 1) 전자 상거래 : 쇼핑 카트 기능 및 지불 처리에 사용됩니다. 2) 컨텐츠 관리 시스템 : 동적 컨텐츠 생성 및 사용자 관리에 사용됩니다. 3) API 개발 : 편안한 API 개발 및 API 보안에 사용됩니다. 성능 최적화 및 모범 사례를 통해 PHP 애플리케이션의 효율성과 유지 보수 성이 향상됩니다.

PHP : 대화식 웹 컨텐츠를 쉽게 만들 수 있습니다Apr 14, 2025 am 12:15 AM

PHP를 사용하면 대화식 웹 컨텐츠를 쉽게 만들 수 있습니다. 1) HTML을 포함하여 컨텐츠를 동적으로 생성하고 사용자 입력 또는 데이터베이스 데이터를 기반으로 실시간으로 표시합니다. 2) 프로세스 양식 제출 및 동적 출력을 생성하여 htmlspecialchars를 사용하여 XSS를 방지합니다. 3) MySQL을 사용하여 사용자 등록 시스템을 작성하고 Password_Hash 및 전처리 명세서를 사용하여 보안을 향상시킵니다. 이러한 기술을 마스터하면 웹 개발의 효율성이 향상됩니다.

PHP 및 Python : 두 가지 인기있는 프로그래밍 언어를 비교합니다Apr 14, 2025 am 12:13 AM

PHP와 Python은 각각 고유 한 장점이 있으며 프로젝트 요구 사항에 따라 선택합니다. 1.PHP는 웹 개발, 특히 웹 사이트의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 간결한 구문을 가진 데이터 과학, 기계 학습 및 인공 지능에 적합하며 초보자에게 적합합니다.

PHP는 여전히 역동적이며 현대 프로그래밍 분야에서 여전히 중요한 위치를 차지하고 있습니다. 1) PHP의 단순성과 강력한 커뮤니티 지원으로 인해 웹 개발에 널리 사용됩니다. 2) 유연성과 안정성은 웹 양식, 데이터베이스 작업 및 파일 처리를 처리하는 데 탁월합니다. 3) PHP는 지속적으로 발전하고 최적화하며 초보자 및 숙련 된 개발자에게 적합합니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

Eclipse용 SAP NetWeaver 서버 어댑터

Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.

Dreamweaver Mac版

시각적 웹 개발 도구

안전한 시험 브라우저

안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.