PHP에서 SQL 주입을 방지하는 방법-PHP 문제-php.cn

집

백엔드 개발

PHP 문제

PHP에서 SQL 주입을 방지하는 방법

爱喝马黛茶的安东尼

Sep 27, 2019 pm 04:15 PM

phpsql주입예방하다

PHP에서 SQL 주입을 방지하는 방법

간단한 SQL 주입 예시

예를 들어 A는 은행 웹사이트를 운영하고 있습니다. 은행 고객이 계좌 번호와 잔액을 볼 수 있는 웹 인터페이스가 제공되었습니다. 귀하의 은행 웹사이트는 http://example.com/get_account_details.php?account_id=102와 같은 URL을 사용하여 데이터베이스에서 세부정보를 가져옵니다.

예를 들어 get_account_details.php의 코드는 다음과 같습니다.

$accountId = $_GET[&#39;account_id&#39;];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";

고객 accountId는 쿼리 문자열을 통해 account_id로 전달됩니다. 사용자의 계정 ID가 102이고 쿼리 문자열에 전달되는 경우 위의 URL과 동일합니다. Php 스크립트는 아래와 같은 쿼리를 생성합니다.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";

accountId 102는 accountNumber와 잔액 정보를 얻어 고객에게 제공합니다.

관련 권장사항: "php tutorial"

0 OR 1=1 쿼리 문자열처럼 스마트 고객이 account_id를 전달한 또 다른 시나리오를 가정해 보겠습니다. 이제 어떻게 되나요? PHP 스크립트는 아래 표시된 쿼리를 생성하고 데이터베이스에서 실행합니다.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";

스크립트와 데이터베이스에서 반환된 결과에서 생성된 쿼리를 봅니다. 이 쿼리는 모든 계정과 사용 가능한 잔액을 반환하는 것을 볼 수 있습니다.

이를 SQL 주입이라고 합니다. 이는 간단한 방법이지만 SQL 인젝션을 수행하는 방법에는 여러 가지가 있습니다. PHP MySQLi 드라이버와 PHP PDO 드라이버를 사용하여 SQL 주입을 방지하는 방법을 살펴보겠습니다.

PHP-MySQLi 드라이버 사용

PHP-MySQLi 드라이버 준비 문을 사용하면 이러한 유형의 SQL 삽입을 방지할 수 있습니다.

SQL 주입을 방지하기 위한 PHP 코드는 다음과 같습니다.

$accountId = $_GET[&#39;account_id&#39;];  
if ($stmt = $mysqli->prepare(&#39;SELECT accountNumber, balance FROM accounts WHERE accountId = ?&#39;)) {   
    $stmt->bind_param("s", $accountId);  
    $stmt->execute();  
 $result = $stmt->get_result();  
 while ($row = $result->fetch_assoc()) {
 // do something here
 }  
    $stmt->close(); 
}

PHP-PDO 드라이버 사용

PHP-PDO 드라이버 준비 문을 사용하면 이러한 유형의 SQL 주입을 방지할 수 있습니다.

위 SQL 주입 문제를 해결하기 위한 PHP 코드는 다음과 같습니다.

$accountId = $_GET[&#39;account_id&#39;];  
if ($stmt = $pdo->prepare(&#39;SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId&#39;)) {   
    $stmt->execute(array(&#39;name&#39; => $name));  
 foreach ($stmt as $row) {
 // do something here
 }  
    $stmt->close(); 
}

위 내용은 PHP에서 SQL 주입을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PM

php把负数转为正整数的方法：1、使用abs()函数将负数转为正数，使用intval()函数对正数取整，转为正整数，语法“intval(abs($number))”；2、利用“~”位运算符将负数取反加一，语法“~$number + 1”。

php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM

实现方法：1、使用“sleep(延迟秒数)”语句，可延迟执行函数若干秒；2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句，可延迟执行函数若干秒和纳秒；3、使用“time_sleep_until(time()+7)”语句。

php字符串有没有下标Apr 24, 2022 am 11:49 AM

php字符串有下标。在PHP中，下标不仅可以应用于数组和对象，还可应用于字符串，利用字符串的下标和中括号“[]”可以访问指定索引位置的字符，并对该字符进行读写，语法“字符串名[下标值]”；字符串的下标值（索引值）只能是整数类型，起始值为0。

php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PM

php除以100保留两位小数的方法：1、利用“/”运算符进行除法运算，语法“数值 / 100”；2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值，并保留两位小数。

php怎么读取字符串后几个字符Apr 22, 2022 pm 08:31 PM

在php中，可以使用substr()函数来读取字符串后几个字符，只需要将该函数的第二个参数设置为负值，第三个参数省略即可；语法为“substr(字符串,-n)”，表示读取从字符串结尾处向前数第n个字符开始，直到字符串结尾的全部字符。

php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM

判断方法：1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式；2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的，因此真实天数需要在此基础上加1。

php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM

方法：1、用“str_replace(" ","其他字符",$str)”语句，可将nbsp符替换为其他字符；2、用“preg_replace("/(\s|\&nbsp\;||\xc2\xa0)/","其他字符",$str)”语句。

php怎么查找字符串是第几位Apr 22, 2022 pm 06:48 PM

查找方法：1、用strpos()，语法“strpos("字符串值","查找子串")+1”；2、用stripos()，语法“strpos("字符串值","查找子串")+1”。因为字符串是从0开始计数的，因此两个函数获取的位置需要进行加1处理。

See all articles

핫 AI 도구

뜨거운 도구

맨티스BT

Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.

mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.