SQL 삽입 및 방지에 대해 자세히 알아보기

이 글에서는 SQL과 MYSQL의 비교를 통해 SQL 인젝션과 관련된 지식 포인트를 자세하게 분석하고, SQL 인젝션의 원리와 SQL 인젝션 예방 방법에 대해 설명하겠습니다.

1.SQL 인젝션이란?

Sql 인젝션은 입력 매개변수에 SQL 코드를 추가하고 이를 SQL 서버에 전달하여 구문 분석 및 실행하는 공격 기법입니다

2.

웹 개발자는 모든 입력이 필터링되었다고 보장할 수 없습니다.

공격자는 SQL 서버로 전송된 입력 데이터를 사용하여 실행 가능한 SQL 코드를 구성합니다.

데이터베이스에 해당 보안 구성이 없습니다

3. 취약점?

웹 애플리케이션의 모든 입력 지점 식별

어떤 유형의 요청이 예외를 트리거하는지 이해하시나요? (특수 문자 " 또는 ')

서버 응답에서 예외 감지

4. SQL 주입 공격을 수행하는 방법?

번호 주입:

ID=1 또는 1=1인 테이블 이름에서 *를 선택합니다.

문자 문자열 삽입:

Mysql의 댓글 기능:

# 및 -는 어떤 비밀번호를 입력해도 쿼리가 정확할 수 있습니다. 이미지 설명을 입력하려면 여기를 클릭하세요.

5. sql 주입?

입력 형식을 엄격하게 확인하세요: is_numeric(var), tp5의 유효성 검사, 일반 문자열 주입을 사용하여 [A-Za-z]

Escape: addlashes(str) ,

mysqli_escape_string 사이에 있는지 확인하세요. () 탈출을 위한 함수

6. MySQLi의 사전 컴파일 메커니즘

매개변수 바인딩

php MySQLi와 PDO는 모두 이러한 기능을 제공합니다. 다음과 같이 쿼리할 수 있습니다.

PDO는 다음과 같이 훨씬 더 편리합니다. SQL 주입 방지

SQL 주입 방지를 위한 PHP 메소드 설명

위 내용은 SQL 삽입 및 방지에 대해 자세히 알아보기의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!