简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
기사
Q&A
강의
주제
다운로드
게임
사전
최근 업데이트

 >  기사  >  백엔드 개발  >  PHP에서 SQL 주입을 방지하는 방법

PHP에서 SQL 주입을 방지하는 방법

不言
不言원래의
2019-02-21 09:50:265948검색

이 기사에서는 PHP의 SQL 주입에 대해 소개하고 PHP-MySQLi 및 PHP-PDO 드라이버를 사용하여 SQL 주입을 방지하는 방법을 소개합니다. 아래의 구체적인 내용을 살펴보겠습니다.

PHP에서 SQL 주입을 방지하는 방법

간단한 SQL 주입 예시

예를 들어 A는 은행 웹사이트를 운영하고 있습니다. 은행 고객이 계좌 번호와 잔액을 볼 수 있는 웹 인터페이스가 제공되었습니다. 귀하의 은행 웹사이트는 http://example.com/get_account_details.PHP에서 SQL 주입을 방지하는 방법?account_id=102와 같은 URL을 사용하여 데이터베이스에서 세부정보를 가져옵니다.

예를 들어 get_account_details.PHP에서 SQL 주입을 방지하는 방법의 코드는 다음과 같습니다. 

$accountId = $_GET['account_id'];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";

고객 accountId는 쿼리 문자열을 통해 account_id로 전달됩니다. 사용자의 계정 ID가 102이고 쿼리 문자열에 전달되는 경우 위의 URL과 동일합니다. Php 스크립트는 아래와 같은 쿼리를 생성합니다. 

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";

accountId 102는 accountNumber와 잔액 정보를 얻어 고객에게 제공합니다.

0 OR 1=1 쿼리 문자열처럼 스마트 고객이 account_id를 전달한 또 다른 시나리오를 가정해 보겠습니다. 이제 어떻게 되나요? PHP 스크립트는 아래 표시된 쿼리를 생성하고 데이터베이스에서 실행합니다. 

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";

스크립트와 데이터베이스에서 반환된 결과에서 생성된 쿼리를 봅니다. 이 쿼리는 모든 계정과 사용 가능한 잔액을 반환하는 것을 볼 수 있습니다.

이를 SQL 주입이라고 합니다. 이는 간단한 방법이지만 SQL 인젝션을 수행하는 방법에는 여러 가지가 있습니다. PHP MySQLi 드라이버와 PHP PDO 드라이버를 사용하여 SQL 주입을 방지하는 방법을 살펴보겠습니다.

PHP-MySQLi 드라이버 사용

PHP-MySQLi 드라이버 준비 문을 사용하면 이러한 유형의 SQL 삽입을 방지할 수 있습니다.

SQL 주입을 방지하기 위한 PHP 코드는 다음과 같습니다. 

$accountId = $_GET['account_id'];
 
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {
  
    $stmt->bind_param("s", $accountId);
 
    $stmt->execute();
 
 $result = $stmt->get_result();
 
 while ($row = $result->fetch_assoc()) {
 // do something here
 }
 
    $stmt->close(); 
}

PHP-PDO 드라이버 사용

PHP-PDO 드라이버 준비 문을 사용하면 이러한 유형의 SQL 주입을 방지할 수 있습니다.

위의 SQL 주입 문제를 해결하기 위한 PHP의 코드는 다음과 같습니다. 

$accountId = $_GET['account_id'];
 
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {
  
    $stmt->execute(array('name' => $name));
 
 foreach ($stmt as $row) {
 // do something here
 }
 
    $stmt->close(); 
}

이 기사는 여기서 끝났습니다. 더 흥미로운 내용을 보려면 PHP 중국어 웹사이트의 다른 관련 칼럼 튜토리얼을 참고하세요! ! !

위 내용은 PHP에서 SQL 주입을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:PHP 연결 해제 기능을 사용하는 방법다음 기사:PHP 연결 해제 기능을 사용하는 방법

관련 기사

더보기