如何有效防範PHP應用中的SQL注入漏洞？

確保針對SQL注入的PHP申請

介紹

SQL注入仍然是一個關鍵的安全威脅，使攻擊者透過將惡意SQL程式碼插入使用者輸入來妥協資料庫。 這可能導致未經授權的數據訪問，修改或刪除。本指南概述了PHP中強大的SQL注射預防的最佳實踐。

未經驗證的使用者輸入

的危險 未驗證的用戶輸入是主要漏洞。 直接將使用者輸入納入SQL查詢，沒有適當的驗證和消毒會產生重大的安全風險。 例如：

如果使用者輸入'）; drop table表; - ，結果查詢變成：>

此執行破壞性指令，放下整張表格。 >

<code class="language-php">$userInput = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$userInput')");</code>

解：準備的語句和參數化查詢

>

<code class="language-sql">INSERT INTO `table` (`column`) VALUES(''); DROP TABLE table;--')</code>

>針對SQL注入的最有效防禦是使用準備的陳述和參數化查詢。 這些來自SQL程式碼的單獨數據，阻止數據被解釋為命令。

利用pdo

PDO（PHP資料物件）提供了支援準備好的語句的資料庫抽象層。 這是一個範例：

利用mysqli

MySqli提供了類似的功能。 對於php 8.2及以後：

在8.2之前的php版本

：之前

<code class="language-php">$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process $row
}</code>

基本連線配置

pdo：

停用模擬準備的語句：>

<code class="language-php">$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process $row
}</code>

mysqli：

<code class="language-php">$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process $row
}</code>

結論

實施這些最佳實務大大降低了SQL注入漏洞的風險。 優先使用已準備好的語句和參數化查詢，將資料與SQL程式碼分開，並安全地設定資料庫連線。 這樣可以確保您的資料庫的持續安全性和完整性。

以上是如何有效防範PHP應用中的SQL注入漏洞？的詳細內容。更多資訊請關注PHP中文網其他相關文章！