Teilen Sie eine einfache und effiziente Möglichkeit, sich gegen SQL-Injection in PHP zu schützen

WEB-Sicherheit war schon immer ein sehr ernstes Thema. SQL-Injection ist eine häufige Angriffsmethode. Unser Code ist häufig darauf ausgelegt, nicht konforme Daten zu verarbeiten und die Injektion zu verhindern. Aber als schwach typisierte Sprache birgt PHP immer Risiken, die wir nicht berücksichtigen. In diesem Artikel wird eine einfache, aber effektive Methode vorgestellt, um SQL-Injection zu verhindern!

Ich erinnere mich an einen Satz, den ich vor langer Zeit von einem großen Experten gehört habe. In einem Programm sollten 60 % des Codes für verschiedene Verteidigungsmaßnahmen vorgesehen sein.

Tatsächlich erfordert die Verhinderung der SQL-Injection nicht unbedingt die Filterung verschiedener Parameter. Der Trockeninformationsmodus wird unten aktiviert!

PHP5.x begann mit der Einführung einer neuen MySQL-Operationsmethode -----mysqli. Es gibt auch eine entsprechende Operationsmethode in PHP namens PHP-Vorverarbeitung. Der objektorientierte Ansatz wird verwendet, um parametrisierte Bindungsoperationen durchzuführen. Aufgrund der unterschiedlichen Modustreiber für Datenbankoperationen kann er sehr effektiv bei der Verhinderung von SQL-Injection sein.

Schauen wir uns zunächst ein Codebeispiel an

<!--?php 
$root = "root";
$pwd = "root";
$host = "localhost";
$database =  "database";
$conn = new mysqli($host,$root,$pwd,$database);//面向对象的方式实例化一个对象
$keywords = $_GET[&#39;keywords&#39;];
$search_sql = "select content from mykey where title = ? ";//其中的?是一个占位符
$search_action = $conn --->prepare($search_sql);//进行预处理操作
$search_action ->bind_param("s",$keywords);//绑定参数，第一个参数表示为上面预处理的的占位符的数量和每一个参数的数据类型，s为字符串，i为整形，d为双精度小数，有几个参数，就写几个s或d或i，比如说iiii,ssss,sidi这样的。然后后面就是有几个参数就写几个要绑定的变量，比如bind_param(&#39;sss&#39;,$username,$password,$code);
$search_action ->bind_result($content);//将结果绑定在相对应的变量上，比如你select了username,password,你就可以写bind_result($usernmae,$password);
$search_action ->execute();//执行sql操作
while($search_action ->fetch()){
echo $content.&#39;<br>&#39;;
}
$search_action ->free_result();//释放内存
$search_action ->close();//结束这个实例化
?>

Das Obige ist ein sehr einfaches Beispiel für die PHP-Vorverarbeitung, die unsere Entwicklungsgeschwindigkeit erleichtern kann Viele Leute verstehen das vielleicht immer noch nicht. Einige fragen sich vielleicht, ob Sie immer noch SQL-Anweisungen mit diesem Bindungsparameter zusammensetzen. Wenn die Anweisung zusammengesetzt wird, würde dies nicht zu einer Injektion führen?

Dies muss anhand des Funktionsprinzips erklärt werden. Tatsächlich wurde die Anweisung während des Vorbereitungsvorgangs bereits in der Datenbank ausgeführt Beim Definieren und Ausführen von Parametern werden nur Daten übergeben, sodass diese überhaupt nicht mit SQL-Anweisungen gespleißt werden und gefährlicher Code natürlich nicht ausgeführt wird. Daher kann SQL-Injection in diesem Modus effektiv verteidigt werden.

Es gibt viele nützliche Operationen in der PHP-Vorverarbeitungsklasse. Ich werde in zukünftigen Artikeln einige häufig verwendete PHP-Vorverarbeitungs-Entwicklungsanweisungen für Sie zusammenfassen.

Verwandte Empfehlungen:

PHP-SQL-Injektion und Anti-Injection-Klassiker-Fallanalyse_PHP-Tutorial

Discuz7.2-Version von faq.php SQL-Injection-Schwachstellenanalyse, discuz7.2faq.php_PHP-Tutorial

Hinweise zu PHP-SQL-Injection-Angriffen und zur Verhinderung

Das obige ist der detaillierte Inhalt vonTeilen Sie eine einfache und effiziente Möglichkeit, sich gegen SQL-Injection in PHP zu schützen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!