>백엔드 개발 >PHP 튜토리얼 >使用PHP函数 "mysqli_real_escape_string" 转义字符串中的特殊字符,以避免SQL注入

使用PHP函数 "mysqli_real_escape_string" 转义字符串中的特殊字符,以避免SQL注入

WBOY
WBOY원래의
2023-07-25 09:41:111263검색

SQL 주입을 피하기 위해 문자열의 특수 문자를 이스케이프하려면 PHP 함수 "mysqli_real_escape_string"을 사용하세요.

소개: 데이터베이스와 상호 작용하는 웹 사이트를 개발하는 동안 사용자가 입력한 데이터를 데이터베이스에 저장해야 하는 경우가 많습니다. 하지만, 사용자가 입력한 데이터가 처리되지 않을 경우, 악의적인 사용자가 입력한 데이터를 이용하여 SQL 인젝션 공격을 수행하여 데이터베이스에 심각한 손상을 입힐 수 있습니다. 이러한 상황을 방지하기 위해 PHP 함수 "mysqli_real_escape_string"을 사용하여 사용자가 입력한 데이터를 이스케이프하여 입력된 문자열이 SQL 코드로 오해되는 일이 없도록 할 수 있습니다.

SQL 인젝션: SQL 인젝션은 웹 애플리케이션의 취약점을 악의적으로 이용하는 공격 유형입니다. 공격자는 입력 데이터에 SQL 코드를 삽입하여 데이터베이스 정보를 수정하거나 훔칩니다. 이는 데이터 유출, 데이터베이스 손상 또는 전체 애플리케이션을 직접적으로 손상시킬 수 있는 일반적인 공격 방법입니다.

해결책: SQL 주입 공격을 방지하기 위해 PHP에서 "mysqli_real_escape_string" 함수를 사용하여 사용자가 입력한 데이터를 이스케이프할 수 있습니다. 이 기능은 데이터의 특수 문자를 처리하여 SQL 코드로 오인되지 않고 일반 문자열로만 처리되도록 합니다.

샘플 코드:

<?php
// 连接到数据库
$mysqli = new mysqli("localhost", "root", "", "mydatabase");

// 检查连接是否成功
if ($mysqli->connect_errno) {
    echo "连接失败:" . $mysqli->connect_error;
    exit();
}

// 获取用户输入
$username = $_POST['username'];
$password = $_POST['password'];

// 对用户输入进行转义
$username = mysqli_real_escape_string($mysqli, $username);
$password = mysqli_real_escape_string($mysqli, $password);

// 构建SQL查询语句
$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";

// 执行查询
$result = $mysqli->query($query);

// 检查查询结果
if ($result->num_rows > 0) {
    // 登录成功
    echo "登录成功!";
} else {
    // 登录失败
    echo "用户名或密码不正确!";
}

// 关闭数据库连接
$mysqli->close();
?>

위 코드에서는 먼저 데이터베이스에 대한 연결을 생성하고 연결이 성공하는지 확인합니다. 그런 다음 사용자가 입력한 사용자 이름과 비밀번호를 가져와 "mysqli_real_escape_string" 함수를 사용하여 이스케이프합니다. 다음으로 SQL 쿼리 문을 구성하고 쿼리를 실행합니다. 마지막으로 쿼리 결과를 확인하고, 일치하는 사용자가 있으면 로그인 성공, 그렇지 않으면 로그인 실패로 간주합니다.

요약: SQL 주입 공격을 방지하려면 항상 사용자가 입력한 데이터를 피해야 합니다. PHP는 이 작업을 수행하는 데 도움이 되는 "mysqli_real_escape_string" 함수를 제공합니다. 이 기능을 사용하면 사용자가 입력한 데이터가 SQL 코드로 오해되지 않도록 하여 데이터베이스의 보안을 효과적으로 보호할 수 있습니다. 잠재적인 보안 위험을 줄이기 위해 데이터베이스와 상호 작용하는 웹 사이트 개발에 이 기능을 사용하는 것이 좋습니다.

위 내용은 使用PHP函数 "mysqli_real_escape_string" 转义字符串中的特殊字符,以避免SQL注入의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:다음 기사: