pangkalan datatutorial mysqlBagaimanakah penyataan yang disediakan dan pertanyaan parameter menghalang suntikan SQL dalam PHP?
Halang suntikan SQL dalam PHP
Kerentanan suntikan SQL berlaku jika input pengguna tidak diproses dengan betul dan dimasukkan ke dalam pertanyaan SQL. Untuk memahami risiko ini, pertimbangkan contoh berikut:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");
Dalam senario ini, jika pengguna secara berniat jahat memasukkan nilai seperti value'); DROP TABLE table;--, pertanyaan akan menjadi:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
Ini membuka pintu kepada serangan berniat jahat pada pangkalan data.
Teknik mitigasi:
Tidak kira pangkalan data mana yang digunakan, amalan keselamatan yang disyorkan untuk menghalang suntikan SQL ialah memisahkan data daripada SQL. Ini bermakna memastikan bahawa data dianggap sebagai data dan tidak pernah ditafsirkan sebagai arahan oleh penghurai SQL. Cara paling berkesan untuk mencapai matlamat ini ialah menggunakan pernyataan yang disediakan dan pertanyaan berparameter.
Pernyataan yang disediakan dan pertanyaan berparameter:
Pernyataan yang disediakan melibatkan penghantaran pertanyaan SQL dan parameter secara berasingan ke pelayan pangkalan data, membenarkan pangkalan data memproses gabungannya. Ini menghalang percubaan suntikan SQL yang berniat jahat dengan memastikan bahawa data tidak dihuraikan oleh PHP sebelum penghantaran.
Pilihan pelaksanaan:
Terdapat dua cara utama untuk melaksanakan pernyataan yang disediakan:
-
PDO (Objek Data PHP):
Ini ialah kaedah umum yang berfungsi dengan semua pemacu pangkalan data yang disokong. Berikut adalah contoh penggunaannya:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute([ 'name' => $name ]); foreach ($stmt as $row) { // 处理行 } -
MySQLi (Sambungan Penambahbaikan MySQL):
Untuk pangkalan data MySQL, anda boleh menggunakan MySQLi. Bermula dengan PHP 8.2, anda boleh menggunakan kaedah
execute_query()untuk menyediakan, mengikat parameter dan melaksanakan pernyataan SQL dalam satu langkah:$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]); while ($row = $result->fetch_assoc()) { // 处理行 }Untuk PHP 8.1 dan ke bawah:
$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); // 's' 表示'字符串'变量类型 $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // 处理行 }
Jika menggunakan pangkalan data selain MySQL, akan ada alternatif khusus pemacu, seperti PostgreSQL pg_prepare() dan pg_execute().
Tetapan sambungan yang betul:
Apabila membuat sambungan, adalah penting untuk melumpuhkan emulasi kenyataan yang disediakan untuk meningkatkan prestasi dan keselamatan.
Sambungan PDO:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
Sambungan MySQL:
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集
Kesimpulan:
Dengan melaksanakan pernyataan yang disediakan dan menyediakan sambungan dengan betul, anda boleh menghalang serangan suntikan SQL dengan berkesan dan memastikan keselamatan dan integriti aplikasi pangkalan data anda.
Atas ialah kandungan terperinci Bagaimanakah penyataan yang disediakan dan pertanyaan parameter menghalang suntikan SQL dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Bagaimana anda mengubah jadual di MySQL menggunakan pernyataan Alter Table?Mar 19, 2025 pm 03:51 PMArtikel ini membincangkan menggunakan pernyataan jadual Alter MySQL untuk mengubah suai jadual, termasuk menambah/menjatuhkan lajur, menamakan semula jadual/lajur, dan menukar jenis data lajur.
Bagaimana saya mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL?Mar 18, 2025 pm 12:01 PMArtikel membincangkan mengkonfigurasi penyulitan SSL/TLS untuk MySQL, termasuk penjanaan sijil dan pengesahan. Isu utama menggunakan implikasi keselamatan sijil yang ditandatangani sendiri. [Kira-kira aksara: 159]
Bagaimana anda mengendalikan dataset besar di MySQL?Mar 21, 2025 pm 12:15 PMArtikel membincangkan strategi untuk mengendalikan dataset besar di MySQL, termasuk pembahagian, sharding, pengindeksan, dan pengoptimuman pertanyaan.
Apakah beberapa alat GUI MySQL yang popular (mis., MySQL Workbench, phpmyadmin)?Mar 21, 2025 pm 06:28 PMArtikel membincangkan alat MySQL GUI yang popular seperti MySQL Workbench dan PHPMyAdmin, membandingkan ciri dan kesesuaian mereka untuk pemula dan pengguna maju. [159 aksara]
Bagaimana anda menjatuhkan jadual di MySQL menggunakan pernyataan jadual drop?Mar 19, 2025 pm 03:52 PMArtikel ini membincangkan jadual menjatuhkan di MySQL menggunakan pernyataan Jadual Drop, menekankan langkah berjaga -jaga dan risiko. Ia menyoroti bahawa tindakan itu tidak dapat dipulihkan tanpa sandaran, memperincikan kaedah pemulihan dan bahaya persekitaran pengeluaran yang berpotensi.
Bagaimana anda mewakili hubungan menggunakan kunci asing?Mar 19, 2025 pm 03:48 PMArtikel membincangkan menggunakan kunci asing untuk mewakili hubungan dalam pangkalan data, memberi tumpuan kepada amalan terbaik, integriti data, dan perangkap umum untuk dielakkan.
Bagaimana anda membuat indeks pada lajur JSON?Mar 21, 2025 pm 12:13 PMArtikel ini membincangkan membuat indeks pada lajur JSON dalam pelbagai pangkalan data seperti PostgreSQL, MySQL, dan MongoDB untuk meningkatkan prestasi pertanyaan. Ia menerangkan sintaks dan faedah mengindeks laluan JSON tertentu, dan menyenaraikan sistem pangkalan data yang disokong.
Bagaimanakah saya menjamin MySQL terhadap kelemahan biasa (suntikan SQL, serangan kekerasan)?Mar 18, 2025 pm 12:00 PMArtikel membincangkan mendapatkan MySQL terhadap suntikan SQL dan serangan kekerasan menggunakan pernyataan yang disediakan, pengesahan input, dan dasar kata laluan yang kuat. (159 aksara)
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Muat turun versi mac editor Atom
Editor sumber terbuka yang paling popular
Dreamweaver Mac版
Alat pembangunan web visual
Pelayar Peperiksaan Selamat
Pelayar Peperiksaan Selamat ialah persekitaran pelayar selamat untuk mengambil peperiksaan dalam talian dengan selamat. Perisian ini menukar mana-mana komputer menjadi stesen kerja yang selamat. Ia mengawal akses kepada mana-mana utiliti dan menghalang pelajar daripada menggunakan sumber yang tidak dibenarkan.
DVWA
Damn Vulnerable Web App (DVWA) ialah aplikasi web PHP/MySQL yang sangat terdedah. Matlamat utamanya adalah untuk menjadi bantuan bagi profesional keselamatan untuk menguji kemahiran dan alatan mereka dalam persekitaran undang-undang, untuk membantu pembangun web lebih memahami proses mengamankan aplikasi web, dan untuk membantu guru/pelajar mengajar/belajar dalam persekitaran bilik darjah Aplikasi web keselamatan. Matlamat DVWA adalah untuk mempraktikkan beberapa kelemahan web yang paling biasa melalui antara muka yang mudah dan mudah, dengan pelbagai tahap kesukaran. Sila ambil perhatian bahawa perisian ini
mPDF
mPDF ialah perpustakaan PHP yang boleh menjana fail PDF daripada HTML yang dikodkan UTF-8. Pengarang asal, Ian Back, menulis mPDF untuk mengeluarkan fail PDF "dengan cepat" dari tapak webnya dan mengendalikan bahasa yang berbeza. Ia lebih perlahan dan menghasilkan fail yang lebih besar apabila menggunakan fon Unicode daripada skrip asal seperti HTML2FPDF, tetapi menyokong gaya CSS dsb. dan mempunyai banyak peningkatan. Menyokong hampir semua bahasa, termasuk RTL (Arab dan Ibrani) dan CJK (Cina, Jepun dan Korea). Menyokong elemen peringkat blok bersarang (seperti P, DIV),
