PHP에서 SQL 주입을 방지하는 방법에 대한 설명

SQL 주입 방지는 우리가 개발하는 웹 사이트를 보호할 수 있기 때문에 일상적인 PHP 개발 웹 사이트에 작성하는 가장 좋은 프로그램입니다. 많은 주니어 PHP 프로그래머는 SQL 주입 방지를 위한 작성 습관이 없을 수도 있습니다. 아니므로 오늘은 PHP를 사용하여 SQL 주입을 방지하는 방법에 대해 이야기하겠습니다.

Cause

일부 데이터는 엄격하게 검증되지 않은 후 SQL에 직접 연결하여 쿼리합니다. 다음과 같은 취약점으로 이어집니다.

$id  = $_GET['id'];
$sql = "SELECT name FROM users WHERE id = $id";

$_GET['id']에 대한 데이터 유형 확인이 없기 때문에 인젝터는 " and 1= 1 또는 " 및 기타 안전하지 않은 데이터와 같은 모든 유형의 데이터를 제출할 수 있습니다. . 다음과 같은 방법으로 작성하시면 더욱 안전합니다.

$id  = intval($_GET['id']);
$sql = "SELECT name FROM users WHERE id = $id";

안전하지 않은 것을 제거하려면 id를 int 유형으로 변환하세요.

데이터 검증

인젝션 방지를 위한 첫 번째 단계는 데이터 검증으로, 해당 유형에 따라 엄격하게 검증이 가능합니다. 예를 들어 int 유형은 intval을 통해 직접 변환할 수 있습니다.

$id =intval( $_GET['id']);

문자 처리는 더 복잡합니다. 먼저 sprintf 함수를 통해 출력 형식을 지정하여 문자열인지 확인합니다. 그런 다음 몇 가지 보안 기능을 사용하여 다음과 같은 일부 불법 문자를 제거합니다.

$str = addslashes(sprintf("%s",$str));　
//也可以用 mysqli_real_escape_string　函数替代addslashes

앞으로는 더 안전해질 것입니다. 물론 "버퍼 오버플로 공격"을 방지하기 위해 문자열 길이를 추가로 결정할 수 있습니다. 예:

$str = addslashes(sprintf("%s",$str));
$str = substr($str,0,40); 
//最大长度为40

매개변수 바인딩

매개변수 바인딩은 SQL 주입을 방지하는 또 다른 장벽입니다. PHP MySQLi와 PDO 모두 이러한 기능을 제공합니다. 예를 들어 MySQLi는 다음과 같이 쿼리할 수 있습니다.

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;
$stmt->bind_param('sssd', $code, $language, $official, $percent);

PDO는 다음과 같이 더욱 편리합니다.

/* Execute a prepared statement by passing an array of values */
$sql = 'SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour&#39;; $sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(&#39;:calories&#39; => 150, &#39;:colour&#39; => &#39;red&#39;));
$red = $sth->fetchAll();
$sth->execute(array(&#39;:calories&#39; => 175, &#39;:colour&#39; => &#39;yellow&#39;));
$yellow = $sth->fetchAll();

우리 대부분은 프로그래밍에 PHP 프레임워크를 사용하므로 SQL을 직접 철자하지 않고 매개변수에 따라 쿼리하는 것이 가장 좋습니다. 바인딩은 프레임워크에서 제공됩니다. 보다 복잡한 SQL 문을 접할 경우 직접 철자를 작성할 때 엄격한 판단에 주의해야 합니다. wordprss db 쿼리 문과 같이 PDO나 MySQLi를 사용하지 않고 준비된 것을 직접 작성할 수도 있으며 엄격한 유형 검증을 거쳤음을 알 수 있습니다.

function prepare( $query, $args ) {
    if ( is_null( $query ) )
         return;
    // This is not meant to be foolproof -- 
           but it will catch obviously incorrect usage.
    if ( strpos( $query, '%' ) === false ) {
         _doing_it_wrong( 'wpdb::prepare' , 
         sprintf ( ( 'The query argument of %s
                 must have a placeholder.' ), 'wpdb::prepare()' ), '3.9' );
   }
    $args = func_get_args();
    array_shift( $args );
    // If args were passed as an array (as in vsprintf), move them up
    if ( isset( $args[ 0] ) && is_array( $args[0]) )
         $args = $args [0];
    $query = str_replace( "'%s'", '%s' , $query ); 
        // in case someone mistakenly already singlequoted it
    $query = str_replace( '"%s"', '%s' , $query ); 
        // doublequote unquoting
    $query = preg_replace( &#39;|(?<!%)%f|&#39; , &#39;%F&#39; , $query ); 
        // Force floats to be locale unaware
    $query = preg_replace( &#39;|(?<!%)%s|&#39;, "&#39;%s&#39;" , $query ); 
        // quote the strings, avoiding escaped strings like %%s
    array_walk( $args, array( $this, &#39;escape_by_ref&#39; ) );
    return @ vsprintf( $query, $args );
}

Summary

기본적인 능력만 갖추면 프로젝트는 허점으로 가득 차 있고, 확장성과 유지 관리성이 아무리 좋아도 쓸모가 없다는 것도 알 수 있습니다. 평상시에는 좀 더 주의를 기울이고, 안전의식을 확립하고, 습관을 기르십시오. 물론 기본적인 안전은 코딩하는 데 시간을 빼앗기지 않습니다. 이 습관을 기르면 프로젝트가 급하고 시간이 짧아도 높은 품질로 프로젝트를 수행할 수 있습니다. 데이터베이스를 포함하여 미래에 책임져야 할 모든 사항이 제거되고 손실이 발생할 때까지 기다리지 말고 심각하게 받아들이십시오. 상호 격려!

관련글 :

php에서 sql 인젝션 방지 방법에 대한 자세한 설명

sql 인젝션 방지를 위한 php 기능 소개

위 내용은 PHP에서 SQL 주입을 방지하는 방법에 대한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!