Comment les instructions préparées empêchent-elles les attaques par injection SQL ?

Protection contre l'injection SQL avec des instructions préparées

Les instructions préparées fournissent une défense puissante contre les vulnérabilités d'injection SQL en séparant proprement le code des données fournies par l'utilisateur.

Comprendre la menace d'injection SQL

Les exploits par injection SQL se produisent lorsque des données non fiables sont directement intégrées dans des requêtes SQL. Cette pratique dangereuse brouille les frontières entre code et données, permettant aux attaquants d’injecter des commandes malveillantes. Un exemple simple illustre le risque :

$query = "SELECT * FROM users WHERE id = '" . $_GET['id'] . "'";

Si $_GET['id'] contient 1; DROP TABLE users; --, la requête résultante devient :

SELECT * FROM users WHERE id = '1; DROP TABLE users; --';

Cette entrée malveillante exécute la commande DROP TABLE users, dévastant potentiellement la base de données.

La mécanique des déclarations préparées

Les instructions préparées corrigent cette vulnérabilité en séparant la structure de la requête des données. Le processus comporte deux étapes :

1. Compilation de requêtes : La base de données reçoit la structure de requête avec des espaces réservés :

$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");

Le ? agit comme un espace réservé pour les données.

2. Liaison de données : Les données sont ensuite envoyées séparément :

$stmt->execute([$id]);

La base de données exécute la requête pré-compilée en utilisant les données fournies. Il est important de noter que les données sont traitées comme des données et non comme du code exécutable, ce qui empêche les attaques par injection.

Implémentation PHP/MySQL

Voici une version sécurisée de l'exemple précédent utilisant des instructions préparées :

$stmt = $db->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $expectedData); // "i" specifies integer data type
$stmt->execute();

Même si $expectedData contient une entrée malveillante, elle est traitée comme une valeur de données, et non comme du code SQL.

Considérations importantes

Bien que les déclarations préparées soient très efficaces, elles n'offrent pas une protection complète. Ils protègent principalement contre l’injection littérale de données. Si les identifiants (noms de table ou de colonne) sont construits dynamiquement dans la requête, des mesures de sécurité supplémentaires sont cruciales.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!