Comment puis-je empêcher efficacement l'injection SQL dans mon application PHP à l'aide de MySQLi ?-tutoriel mysql-php.cn

Comment puis-je empêcher efficacement l'injection SQL dans mon application PHP à l'aide de MySQLi ?

Barbara Streisand

Libérer： 2024-12-18 13:28:15

original

434 Les gens l'ont consulté

How Can I Effectively Prevent SQL Injection in My PHP Application Using MySQLi?

Prévenir l'injection SQL en PHP avec MySQLi

Éviter l'injection SQL est crucial pour protéger votre site Web basé sur PHP. Bien que mysqli_real_escape_string offre une protection, il est important de considérer son utilisation appropriée et d'employer des mesures de sécurité supplémentaires.

Portée de mysqli_real_escape_string

Contrairement à ce que vous auriez pu penser au départ, il est essentiel pour appliquer mysqli_real_escape_string à toutes les variables utilisées dans les instructions SQL, quelle que soit leur nature. Les instructions de sélection, les insertions, les mises à jour et les suppressions sont toutes sensibles à l'injection SQL. Le fait de ne pas nettoyer une entrée peut entraîner des vulnérabilités.

Requêtes paramétrées et instructions préparées

Une approche robuste pour empêcher l'injection SQL implique l'utilisation de requêtes paramétrées. Cette technique remplace la concaténation directe de chaînes par des espaces réservés (?). Lors de l'exécution de requêtes paramétrées, les valeurs des arguments sont fournies séparément en tant que paramètres. Cette approche empêche les entrées malveillantes d'affecter la structure de l'instruction SQL, rendant ainsi les tentatives d'injection vaines.

Dans MySQLi, vous pouvez y parvenir en préparant une instruction avec la méthode prepare, en liant les variables à des espaces réservés à l'aide de bind_param, puis exécuter la requête avec exécuter :

$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();

Copier après la connexion

Mesures de sécurité supplémentaires

Au-delà Prévention des injections SQL, envisagez de mettre en œuvre des mesures de sécurité supplémentaires pour améliorer la résilience de votre site Web :

Validation des entrées (par exemple, vérification du type de données)
Protection contre les scripts intersites (XSS)
Prévention de la falsification de requêtes intersites (CSRF)
Cryptage des données sensibles data
Utilisation d'un pare-feu d'application Web (WAF)

En adhérant à ces bonnes pratiques et en exploitant la puissance des requêtes paramétrées, vous pouvez réduire considérablement le risque d'attaques par injection SQL sur votre site Web basé sur PHP.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!