Wie können erstellte Anweisungen und parametrisierte Abfragen die SQL -Injektion in PHP -Anwendungen verhindern?

Sicherung von PHP -Anwendungen gegen SQL -Injektion

Einführung

SQL -Injektion bleibt eine kritische Bedrohung für Anwendungen, die Benutzereingaben in SQL -Abfragen bearbeiten. Angreifer nutzen Schwachstellen aus, um böswillige Befehle zu injizieren und möglicherweise ganze Datenbanken zu beeinträchtigen. Dieser Artikel beschreibt robuste Methoden zur Verhinderung der SQL -Injektion in Php.

Verständnis der SQL -Injektionsbedrohung

SQL -Injektionsexploits treten auf, wenn nicht validierte Benutzereingaben SQL -Abfragen direkt beeinflussen. Zum Beispiel:

<code class="language-php">$userInput = $_POST['user_input'];
mysql_query("INSERT INTO users (username) VALUES ('$userInput')");</code>

Wenn $userInput böswilligen Code wie '; DROP TABLE users; -- enthält, führt die Datenbank diesen destruktiven Befehl aus.

Strategien für effektive Prävention

1. Vorbereitete Aussagen und parametrisierte Abfragen: Der Eckpfeiler der Verteidigung

Das Kernprinzip besteht darin, Daten von der SQL -Abfragestruktur zu trennen. Vorbereitete Aussagen (oder parametrisierte Abfragen) erreichen dies durch:

• Abfrage/Datenabteilung: Der Datenbankserver analysiert die SQL -Abfrage unabhängig von den Datenwerten.
• Daten als Zeichenfolgen: Alle Daten werden als wörtliche Zeichenfolgen behandelt, wodurch böswilliger SQL -Code neutralisiert wird.

Verwenden von PDO (PHP -Datenobjekte): Ein empfohlener Ansatz

PDO bietet eine konsistente Schnittstelle über verschiedene Datenbanksysteme hinweg. Hier erfahren Sie, wie Sie PDO mit vorbereiteten Aussagen verwenden:

<code class="language-php">$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process each row
}</code>

mysqli (MySQL verbessert): Alternative für MySQL

Mysqli bietet zwei Möglichkeiten, parametrisierte Abfragen auszuführen:

execute_query() (Php 8.2 und später):

<code class="language-php">$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process each row
}</code>

prepare() und execute():

<code class="language-php">$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes a string parameter
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process each row
}</code>

2. Datenbankverbindung Best Practices

pdo:

emulierte Aussagen für optimale Sicherheit deaktivieren:

<code class="language-php">$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);</code>

mysqli:

Aktivieren Sie eine robuste Fehlerberichterstattung und geben Sie den Zeichensatz an:

<code class="language-php">mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('localhost', 'username', 'password', 'database');
$dbConnection->set_charset('utf8mb4');</code>

3. Zusätzliche Sicherheitsüberlegungen

Dynamische Abfragen: Während vorbereitete Anweisungen Datenparameter verarbeiten, kann die Abfragestruktur selbst nicht parametrisiert werden. Verwenden Sie für dynamische Abfragen die Whitelisting, um zulässige Werte einzuschränken.

Schlussfolgerung

Implementierung vorbereiteter Anweisungen und folgende Best Practices für Datenbankverbindung sind für den Schutz von PHP -Anwendungen vor SQL -Injektion von entscheidender Bedeutung. Die Priorisierung der Datentrennung innerhalb von SQL -Abfragen sorgt für die Datenbankintegrität und die Anwendungssicherheit.

Das obige ist der detaillierte Inhalt vonWie können erstellte Anweisungen und parametrisierte Abfragen die SQL -Injektion in PHP -Anwendungen verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!