Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Aplikasi PHP?

Halang suntikan SQL dalam PHP

Suntikan SQL ialah kelemahan yang berlaku apabila input pengguna yang tidak diubah suai dimasukkan dengan salah ke dalam pertanyaan SQL. Ini boleh membenarkan penyerang untuk melaksanakan kod SQL sewenang-wenangnya, menyebabkan akibat bencana kepada aplikasi.

Untuk mengelakkan suntikan SQL, adalah penting untuk memisahkan data daripada SQL, memastikan data sentiasa kekal sebagai data dan tidak pernah ditafsirkan sebagai arahan oleh penghurai SQL. Ini boleh dicapai dengan menggunakan pernyataan yang disediakan dengan parameter, yang menghantar pertanyaan SQL ke pelayan pangkalan data untuk menghuraikan secara berasingan daripada mana-mana parameter. Dengan cara ini, penyerang tidak boleh menyuntik SQL berniat jahat.

Terdapat dua cara untuk mencapai ini:

• Gunakan PDO (berfungsi dengan mana-mana pemacu pangkalan data yang disokong)

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // 处理 $row
}

• Menggunakan MySQLi (untuk MySQL)

PHP 8.2:

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

PHP 8.1 dan ke bawah:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定变量类型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

Jika anda menyambung ke pangkalan data bukan MySQL, anda boleh merujuk kepada pilihan khusus pemacu kedua (cth., PostgreSQL pg_prepare() dan pg_execute()). PDO adalah pilihan sejagat.

Konfigurasi sambungan yang betul

Apabila menggunakan PDO untuk mengakses pangkalan data MySQL, kenyataan sebenar yang disediakan tidak digunakan secara lalai. Untuk menyelesaikan masalah ini, anda perlu melumpuhkan simulasi kenyataan yang disediakan. Berikut ialah contoh cara membuat sambungan menggunakan PDO:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Untuk MySQLi, operasi yang sama perlu dilakukan:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 编码

Penerangan

Pertanyaan SQL yang anda hantar ke prepare dihuraikan dan disusun oleh pelayan pangkalan data. Dengan menentukan parameter (sama ada ? atau parameter bernama, seperti contoh :name di atas), anda memberitahu kernel pangkalan data perkara yang anda ingin tapis berdasarkan. Kemudian, apabila execute dipanggil, pertanyaan praproses digabungkan dengan nilai parameter yang anda berikan.

Adalah penting bahawa nilai parameter digabungkan dengan pertanyaan yang disusun dan bukan dengan rentetan SQL. Suntikan SQL berfungsi dengan menipu skrip untuk memasukkan rentetan berniat jahat apabila mencipta SQL untuk dihantar ke pangkalan data. Jadi dengan menghantar SQL sebenar secara berasingan daripada parameter, anda mengurangkan risiko mendapat hasil yang tidak dijangka.

Sebarang parameter yang dihantar menggunakan pernyataan yang disediakan akan dianggap hanya sebagai rentetan (walaupun kernel pangkalan data mungkin melakukan beberapa pengoptimuman jadi parameter juga mungkin nombor). Dalam contoh di atas, jika pembolehubah $name mengandungi 'Sarah'; DELETE FROM employees, hasilnya hanya akan menjadi rentetan carian "'Sarah'; DELETE FROM employees " dan jadual anda tidak akan dikosongkan.

Satu lagi kelebihan menggunakan pernyataan yang disediakan ialah jika anda melaksanakan pertanyaan yang sama beberapa kali dalam sesi yang sama, ia hanya dihuraikan dan disusun sekali, sekali gus meningkatkan kelajuan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Aplikasi PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!