Wie kann ich die SQL -Injektion in PHP -Anwendungen verhindern?

Verhindern Sie die SQL -Injektion von SQL in PHP

SQL -Injektion ist eine Sicherheitsanfälligkeit. Dies kann zur Ausführung eines SQL -Codes durch einen Angreifer führen, der der Anwendung katastrophale Konsequenzen verursacht.

Um die SQL -Injektion zu verhindern, ist es wichtig, die Daten von SQL zu trennen, um sicherzustellen, dass die Daten immer als Daten aufbewahrt werden, und sie wird vom SQL -Parser niemals als Befehl interpretiert. Dies kann durch die Verwendung von Sätzen mit Parametern implementiert werden. Auf diese Weise kann ein Angreifer keine böswillige SQL injizieren.

Es gibt zwei Möglichkeiten zu erreichen:

Verwenden Sie PDO (geeignet für jeden Support -Datenbank -Treiber)

Verwenden Sie MySQLI (geeignet für MySQL)

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // 处理 $row
}

• Php 8.2:

Php 8.1 und niedrigere Versionen:

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

Wenn Sie mit einer nicht -mysql -Datenbank verbunden sind, können Sie sich auf die zweite Option beziehen, die für den Treiber (z. B.

und ) von PostgreSQL spezifisch ist. PDO ist eine allgemeine Wahl.

<确> Die korrekte Verbindungskonfiguration

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定变量类型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理 $row
}

pg_prepare() Wenn Sie PDO verwenden, um auf die MySQL -Datenbank zuzugreifen, werden reale Sätze vor der Verarbeitung standardmäßig nicht verwendet. Um dieses Problem zu lösen, ist die Simulation von Vorverarbeitungsanweisungen erforderlich. Hier finden Sie, wie Sie ein Verbindungsbeispiel mit PDO erstellen: pg_execute()

Für MySQLI muss die gleiche Operation durchgeführt werden:

<明> Erläuterung

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Die SQL -Abfrage, die Sie an <您> übergeben, wird vom Datenbankserver analysiert und kompiliert. Durch Angeben von Parametern (ob

oder benennende Parameter, wie z. B. das obige Beispiel

), teilen Sie dem Datenbankkernel mit, was Sie filtern möchten. Wenn Sie dann <，> aufrufen, wird die Abfrage vor dem Verarbeitung mit den von Ihnen angegebenen Parameterwerten kombiniert.

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 编码

Es ist wichtig, dass der Parameterwert mit der kompilierten Abfrage kombiniert wird und nicht mit der SQL -Zeichenfolge kombiniert wird. SQL wird durch das Skript in das Skript injiziert, und die an die Datenbank gesendete SQL enthält eine böswillige Saiten, die funktionieren. Durch das Senden der tatsächlichen SQL und Parameter können Sie daher das Risiko reduzieren, Unfälle zu erhalten. Alle Parameter, die von Vorbearbeitungsanweisungen gesendet werden, werden einfach als Zeichenfolge angesehen (obwohl der Datenbankkern möglicherweise eine gewisse Optimierung durchführt, sodass die Parameter auch Zahlen sein können). Wenn im obigen Beispiel die Variable

enthält, durchsucht das Ergebnis nur die Zeichenfolge prepare und Ihre Uhr wird nicht entleert. ? :name Ein weiterer Vorteil der Verwendung der Vorverarbeitungserklärung besteht darin, dass, wenn Sie dieselbe Abfrage in derselben Sitzung ausführen, nur einmal analysieren und zusammenstellen, um die Geschwindigkeit zu verbessern. execute

Das obige ist der detaillierte Inhalt vonWie kann ich die SQL -Injektion in PHP -Anwendungen verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!