MySQL, SQL 주입 및 방지 방법에 대한 자세한 소개-MySQL 튜토리얼-php.cn

집

데이터 베이스

MySQL 튜토리얼

MySQL, SQL 주입 및 방지 방법에 대한 자세한 소개

黄舟

Mar 09, 2017 am 11:08 AM

이 글에서는 주로 MySQL과 SQL의 인젝션과 예방 방법을 자세하게 소개하고 있습니다. 아주 좋은 참고값이 있습니다. 필요하시면 참고하시면 됩니다

소위 SQL 인젝션은 웹 양식 제출에 SQL 명령을 삽입하거나 도메인 이름이나 페이지 요청에 대한 쿼리 문자열을 입력하는 것입니다. 궁극적으로 서버를 속여 악성 SQL 명령을 실행하게 합니다.

우리는 사용자 입력을 절대 믿어서는 안 됩니다. 우리는 사용자가 입력한 데이터가 안전하지 않다고 판단해야 합니다.

1. 다음 예에서 입력하는 사용자 이름은 문자, 숫자, 밑줄의 조합이어야 하며, 사용자 이름 길이는 8~20자여야 합니다:

if (preg_match("/^\w{8,20}$/", $_GET[&#39;username&#39;], $matches))
{
 $result = mysql_query("SELECT * FROM users 
       WHERE username=$matches[0]");
}
 else
{
 echo "username 输入异常";
}

특수 문자가 필터링되지 않은 경우 발생하는 SQL 상황을 살펴보겠습니다:

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir&#39;; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name=&#39;{$name}&#39;");

위의 주입 문에서는 $name 변수를 필터링하지 않았습니다. $name에 불필요한 SQL 문이 삽입되어 사용자 테이블의 모든 데이터가 삭제됩니다.

2. PHP의 Mysql_query()는 다중 SQL 문 실행을 허용하지 않지만, SQLite 및 PostgreSQL에서는 동시에 여러 SQL 문 실행이 가능하므로 이러한 사용자의 데이터를 엄격하게 검증해야 합니다.

SQL 주입을 방지하려면 다음 사항에 주의해야 합니다.

1. 사용자 입력을 절대 신뢰하지 마십시오. 사용자의 입력을 확인하려면 정규식을 사용하거나 작은따옴표와 큰따옴표 등을 변환하여 길이를 제한할 수 있습니다.
2. SQL의 동적 어셈블리를 사용하지 마십시오. 매개변수화된 SQL을 사용하거나 데이터 쿼리 및 액세스를 위해 저장 프로시저를 직접 사용할 수 있습니다.
3. 관리자 권한으로 데이터베이스 연결을 사용하지 마십시오. 각 응용 프로그램에 대해 제한된 권한을 가진 별도의 데이터베이스 연결을 사용하십시오.
4. 기밀 정보를 직접 저장하지 말고, 비밀번호와 민감한 정보를 암호화하거나 해시 처리하지 마십시오.
5. 애플리케이션의 예외 정보는 가능한 한 적은 힌트를 제공해야 합니다. 사용자 정의 오류 정보를 사용하여 원래 오류 정보를 래핑하는 것이 가장 좋습니다.
6. SQL 주입 탐지 방법은 일반적으로 보조 소프트웨어 또는 웹사이트 플랫폼을 사용하여 탐지합니다. 소프트웨어는 일반적으로 SQL 주입 탐지 도구인 jsky를 사용하며 웹사이트 플랫폼에는 Yisi 웹사이트 보안 플랫폼 탐지 도구가 있습니다. MDCSOFT SCAN 등 MDCSOFT-IPS를 사용하면 SQL 주입, XSS 공격 등을 효과적으로 방어할 수 있습니다.

3. SQL 인젝션 방지

Perl 및 PHP와 같은 스크립팅 언어에서는 SQL 주입을 방지하기 위해 사용자가 입력한 데이터를 이스케이프할 수 있습니다.

PHP의 MySQL 확장은 특수 입력 문자를 이스케이프하는 mysql_real_escape_string() 함수를 제공합니다.

아아아아

4.Like문에 삽입

위와 같이 쿼리할 때 사용자가 입력한 값에 "_", "%"가 포함되어 있으면 이런 상황이 발생합니다. 사용자가 원래 "abcd_"만 쿼리하려고 했으나 쿼리 결과에 "abcd_", "abcde"가 포함됩니다. , 및 "abcdf" 잠깐만요. 사용자가 "30%"(참고: 30%)를 쿼리하려는 경우에도 문제가 발생합니다.

PHP 스크립트에서는 다음 예와 같이 addcslashes() 함수를 사용하여 위 상황을 처리할 수 있습니다.

if (get_magic_quotes_gpc()) 
{
 $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name=&#39;{$name}&#39;");

addcslashes() 함수는 지정된 문자 앞에 백슬래시를 추가합니다.

문법 형식:

$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == \%something\_
mysql_query("SELECT * FROM messages WHERE subject LIKE &#39;{$sub}%&#39;");

매개변수 설명

문자열 필수입니다. 확인할 문자열을 지정합니다.

문자는 선택사항입니다. addcslashes()의 영향을 받는 문자 또는 문자 범위를 지정합니다.

위 내용은 MySQL, SQL 주입 및 방지 방법에 대한 자세한 소개의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

MySQL : 초보자가 마스터하는 필수 기술Apr 18, 2025 am 12:24 AM

MySQL은 초보자가 데이터베이스 기술을 배우는 데 적합합니다. 1. MySQL 서버 및 클라이언트 도구를 설치하십시오. 2. SELECT와 같은 기본 SQL 쿼리를 이해하십시오. 3. 마스터 데이터 작업 : 데이터를 만들고, 삽입, 업데이트 및 삭제합니다. 4. 고급 기술 배우기 : 하위 쿼리 및 창 함수. 5. 디버깅 및 최적화 : 구문 확인, 인덱스 사용, 선택*을 피하고 제한을 사용하십시오.

MySQL : 구조화 된 데이터 및 관계형 데이터베이스Apr 18, 2025 am 12:22 AM

MySQL은 테이블 구조 및 SQL 쿼리를 통해 구조화 된 데이터를 효율적으로 관리하고 외래 키를 통해 테이블 간 관계를 구현합니다. 1. 테이블을 만들 때 데이터 형식을 정의하고 입력하십시오. 2. 외래 키를 사용하여 테이블 간의 관계를 설정하십시오. 3. 인덱싱 및 쿼리 최적화를 통해 성능을 향상시킵니다. 4. 데이터 보안 및 성능 최적화를 보장하기 위해 데이터베이스를 정기적으로 백업 및 모니터링합니다.

MySQL : 주요 기능 및 기능이 설명되었습니다Apr 18, 2025 am 12:17 AM

MySQL은 웹 개발에 널리 사용되는 오픈 소스 관계형 데이터베이스 관리 시스템입니다. 주요 기능에는 다음이 포함됩니다. 1. 다른 시나리오에 적합한 InnoDB 및 MyISAM과 같은 여러 스토리지 엔진을 지원합니다. 2.로드 밸런싱 및 데이터 백업을 용이하게하기 위해 마스터 슬레이브 복제 기능을 제공합니다. 3. 쿼리 최적화 및 색인 사용을 통해 쿼리 효율성을 향상시킵니다.

SQL의 목적 : MySQL 데이터베이스와 상호 작용합니다Apr 18, 2025 am 12:12 AM

SQL은 MySQL 데이터베이스와 상호 작용하여 데이터 첨가, 삭제, 수정, 검사 및 데이터베이스 설계를 실현하는 데 사용됩니다. 1) SQL은 Select, Insert, Update, Delete 문을 통해 데이터 작업을 수행합니다. 2) 데이터베이스 설계 및 관리에 대한 생성, 변경, 삭제 문을 사용하십시오. 3) 복잡한 쿼리 및 데이터 분석은 SQL을 통해 구현되어 비즈니스 의사 결정 효율성을 향상시킵니다.

초보자를위한 MySQL : 데이터베이스 관리를 시작합니다Apr 18, 2025 am 12:10 AM

MySQL의 기본 작업에는 데이터베이스, 테이블 작성 및 SQL을 사용하여 데이터에서 CRUD 작업을 수행하는 것이 포함됩니다. 1. 데이터베이스 생성 : createAbasemy_first_db; 2. 테이블 만들기 : CreateTableBooks (idintauto_incrementprimarykey, titlevarchar (100) notnull, authorvarchar (100) notnull, published_yearint); 3. 데이터 삽입 : InsertIntobooks (Title, Author, Published_year) VA

MySQL의 역할 : 웹 응용 프로그램의 데이터베이스Apr 17, 2025 am 12:23 AM

웹 응용 프로그램에서 MySQL의 주요 역할은 데이터를 저장하고 관리하는 것입니다. 1. MySQL은 사용자 정보, 제품 카탈로그, 트랜잭션 레코드 및 기타 데이터를 효율적으로 처리합니다. 2. SQL 쿼리를 통해 개발자는 데이터베이스에서 정보를 추출하여 동적 컨텐츠를 생성 할 수 있습니다. 3.mysql은 클라이언트-서버 모델을 기반으로 작동하여 허용 가능한 쿼리 속도를 보장합니다.

MySQL : 첫 번째 데이터베이스 구축Apr 17, 2025 am 12:22 AM

MySQL 데이터베이스를 구축하는 단계에는 다음이 포함됩니다. 1. 데이터베이스 및 테이블 작성, 2. 데이터 삽입 및 3. 쿼리를 수행하십시오. 먼저 CreateAbase 및 CreateTable 문을 사용하여 데이터베이스 및 테이블을 작성한 다음 InsertInto 문을 사용하여 데이터를 삽입 한 다음 최종적으로 SELECT 문을 사용하여 데이터를 쿼리하십시오.

MySQL : 데이터 저장에 대한 초보자 친화적 인 접근 방식Apr 17, 2025 am 12:21 AM

MySQL은 사용하기 쉽고 강력하기 때문에 초보자에게 적합합니다. 1.MySQL은 관계형 데이터베이스이며 CRUD 작업에 SQL을 사용합니다. 2. 설치가 간단하고 루트 사용자 비밀번호를 구성해야합니다. 3. 삽입, 업데이트, 삭제 및 선택하여 데이터 작업을 수행하십시오. 4. Orderby, Where and Join은 복잡한 쿼리에 사용될 수 있습니다. 5. 디버깅은 구문을 확인하고 쿼리를 분석하기 위해 설명을 사용해야합니다. 6. 최적화 제안에는 인덱스 사용, 올바른 데이터 유형 선택 및 우수한 프로그래밍 습관이 포함됩니다.

See all articles