Wie implementiert man parametrisierte Abfragen mit MySQL-Verbindung in PHP, um SQL-Injection zu verhindern?-MySQL-Tutorial-php.cn

Wie implementiert man parametrisierte Abfragen mit MySQL-Verbindung in PHP, um SQL-Injection zu verhindern?

Mary-Kate Olsen

Freigeben： 2024-11-01 07:36:30

Original

237 Leute haben es durchsucht

How to Implement Parameterized Queries with MySQL Connection in PHP to Prevent SQL Injection?

Parametrierte Abfragen mit MySQL-Verbindung in PHP

Die Gewährleistung der Sicherheit Ihrer Datenbankanwendungen ist von größter Bedeutung, und parametrisierte Abfragen sind ein entscheidender Schutz gegen SQL Injektionsattacken. Bei dieser Technik werden Benutzereingaben als Parameter und nicht als direkte SQL-Syntax verarbeitet, wodurch böswillige Zeichenmanipulation wirksam verhindert wird.

In Ihrem Code ist der unsichere Ansatz mit der Verkettung von Benutzernamen- und Kennwortparametern anfällig für Injektionen. Um dies zu beheben, führen Sie die folgenden Schritte aus:

Bereiten Sie die parametrisierte Abfrage vor:
```
<code class="php">$stmt = mysqli_prepare($dbc, "SELECT * FROM users WHERE username = ? AND password = ?");</code>
```
Nach dem Login kopieren
Dadurch wird eine Anweisung mit Platzhaltern (?) vorbereitet die zu übergebenden Parameter.
Bind Parameter:
```
<code class="php">mysqli_stmt_bind_param($stmt, "ss", $userName, $userPass);</code>
```
Nach dem Login kopieren
Hier gibt „ss“ die Parametertypen an: zwei Zeichenfolgen. $userName und $userPass sind an diese Parameter gebunden.
Führen Sie die Anweisung aus:
```
<code class="php">mysqli_stmt_execute($stmt);</code>
```
Nach dem Login kopieren
Dies führt die parametrisierte Abfrage mit der Bindung aus Parameter.
Abrufen Ergebnisse:
```
<code class="php">$row = mysqli_stmt_fetch($stmt);</code>
```
Nach dem Login kopieren
Dadurch wird die Ergebniszeile abgerufen, die dann auf Existenz oder weitere Manipulation überprüft werden kann.

Zusätzliche Empfehlungen:

Hashen Sie Benutzerpasswörter für mehr Sicherheit, anstatt sie im Klartext zu speichern Text.
Benutzereingaben validieren, um sicherzustellen, dass sie den erwarteten Formaten und Typen entsprechen.
Datenbankverbindungspooling zur Leistungsoptimierung nutzen.

Wenn Sie diese Schritte befolgen, können Sie kann die Sicherheit Ihrer PHP-Anwendungen erhöhen und sie vor SQL-Injection-Schwachstellen schützen. Denken Sie daran, dass parametrisierte Abfragen eine wesentliche Technik in der modernen Datenbankprogrammierung sind und immer für die Verarbeitung von Benutzereingaben verwendet werden sollten.

Das obige ist der detaillierte Inhalt vonWie implementiert man parametrisierte Abfragen mit MySQL-Verbindung in PHP, um SQL-Injection zu verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!