간단한 SQL 주입 예시
예를 들어 A는 은행 웹사이트를 운영하고 있습니다. 은행 고객이 계좌 번호와 잔액을 볼 수 있는 웹 인터페이스가 제공되었습니다. 귀하의 은행 웹사이트는 http://example.com/get_account_details.php?account_id=102와 같은 URL을 사용하여 데이터베이스에서 세부정보를 가져옵니다.
예를 들어 get_account_details.php의 코드는 다음과 같습니다.
$accountId = $_GET['account_id']; $query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";
고객 accountId는 쿼리 문자열을 통해 account_id로 전달됩니다. 사용자의 계정 ID가 102이고 쿼리 문자열에 전달되는 경우 위의 URL과 동일합니다. Php 스크립트는 아래와 같은 쿼리를 생성합니다.
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";
accountId 102는 accountNumber와 잔액 정보를 얻어 고객에게 제공합니다.
관련 권장사항: "php tutorial"
0 OR 1=1 쿼리 문자열처럼 스마트 고객이 account_id를 전달한 또 다른 시나리오를 가정해 보겠습니다. 이제 어떻게 되나요? PHP 스크립트는 아래 표시된 쿼리를 생성하고 데이터베이스에서 실행합니다.
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";
스크립트와 데이터베이스에서 반환된 결과에서 생성된 쿼리를 봅니다. 이 쿼리는 모든 계정과 사용 가능한 잔액을 반환하는 것을 볼 수 있습니다.
이를 SQL 주입이라고 합니다. 이는 간단한 방법이지만 SQL 인젝션을 수행하는 방법에는 여러 가지가 있습니다. PHP MySQLi 드라이버와 PHP PDO 드라이버를 사용하여 SQL 주입을 방지하는 방법을 살펴보겠습니다.
PHP-MySQLi 드라이버 사용
PHP-MySQLi 드라이버 준비 문을 사용하면 이러한 유형의 SQL 삽입을 방지할 수 있습니다.
SQL 주입을 방지하기 위한 PHP 코드는 다음과 같습니다.
$accountId = $_GET['account_id']; if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) { $stmt->bind_param("s", $accountId); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something here } $stmt->close(); }
PHP-PDO 드라이버 사용
PHP-PDO 드라이버 준비 문을 사용하면 이러한 유형의 SQL 주입을 방지할 수 있습니다.
위 SQL 주입 문제를 해결하기 위한 PHP 코드는 다음과 같습니다.
$accountId = $_GET['account_id']; if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) { $stmt->execute(array('name' => $name)); foreach ($stmt as $row) { // do something here } $stmt->close(); }
위 내용은 PHP에서 SQL 주입을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!