Une explication sur la façon d'empêcher l'injection SQL en PHP

La prévention de l'injection SQL est le meilleur programme à écrire sur notre site Web de développement PHP quotidien, car il peut protéger le site Web que nous développons. Je pense que de nombreux programmeurs PHP juniors n'ont pas écrit pour empêcher l'injection SQL. habitude, nous allons donc parler aujourd'hui de la façon d'utiliser PHP pour empêcher l'injection SQL.

Cause

D'une part, je n'en ai pas connaissance Certaines données n'ont pas été strictement vérifiées, puis directement épissées. en SQL pour la requête. Menant à des vulnérabilités, telles que :

$id  = $_GET['id'];
$sql = "SELECT name FROM users WHERE id = $id";

Comme il n'y a pas de vérification du type de données pour $_GET['id'], l'injecteur peut soumettre n'importe quel type de données, tel que " et 1= 1 ou " et autres données dangereuses. Il est plus sûr de l'écrire de la manière suivante.

$id  = intval($_GET['id']);
$sql = "SELECT name FROM users WHERE id = $id";

Convertissez l'identifiant en type int pour supprimer les éléments dangereux.

Vérifier les données

La première étape pour empêcher l'injection est de vérifier les données, qui peuvent être strictement vérifiées selon le correspondant taper. Par exemple, le type int peut être converti directement via intval : les caractères

$id =intval( $_GET['id']);

sont plus compliqués à traiter. Tout d'abord, formatez la sortie via la fonction sprintf pour vous assurer qu'il s'agit d'une chaîne. Utilisez ensuite certaines fonctions de sécurité pour supprimer certains caractères illégaux, tels que :

$str = addslashes(sprintf("%s",$str));　
//也可以用 mysqli_real_escape_string　函数替代addslashes

Ce sera plus sûr à l'avenir. Bien entendu, vous pouvez déterminer en outre la longueur de la chaîne pour empêcher les "attaques par débordement de tampon" telles que :

$str = addslashes(sprintf("%s",$str));
$str = substr($str,0,40); 
//最大长度为40

Liaison paramétrée

La liaison paramétrée est un autre obstacle pour empêcher l'injection SQL. PHP MySQLi et PDO fournissent tous deux une telle fonctionnalité. Par exemple, MySQLi peut interroger comme ceci :

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;
$stmt->bind_param('sssd', $code, $language, $official, $percent);

PDO est encore plus pratique, comme :

/* Execute a prepared statement by passing an array of values */
$sql = 'SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour&#39;; $sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(&#39;:calories&#39; => 150, &#39;:colour&#39; => &#39;red&#39;));
$red = $sth->fetchAll();
$sth->execute(array(&#39;:calories&#39; => 175, &#39;:colour&#39; => &#39;yellow&#39;));
$yellow = $sth->fetchAll();

La plupart d'entre nous utilisent le framework PHP pour la programmation, il est donc préférable ne pas épeler SQL vous-même. Requête selon la liaison de paramètre donnée par le framework. Lorsque vous rencontrez des instructions SQL plus complexes, vous devez faire attention à un jugement strict lorsque vous les épelez vous-même. Vous pouvez également en écrire une vous-même sans utiliser PDO ou MySQLi, comme l'instruction de requête wordprss db. On peut voir qu'elle a également subi une vérification de type stricte.

function prepare( $query, $args ) {
    if ( is_null( $query ) )
         return;
    // This is not meant to be foolproof -- 
           but it will catch obviously incorrect usage.
    if ( strpos( $query, '%' ) === false ) {
         _doing_it_wrong( 'wpdb::prepare' , 
         sprintf ( ( 'The query argument of %s
                 must have a placeholder.' ), 'wpdb::prepare()' ), '3.9' );
   }
    $args = func_get_args();
    array_shift( $args );
    // If args were passed as an array (as in vsprintf), move them up
    if ( isset( $args[ 0] ) && is_array( $args[0]) )
         $args = $args [0];
    $query = str_replace( "'%s'", '%s' , $query ); 
        // in case someone mistakenly already singlequoted it
    $query = str_replace( '"%s"', '%s' , $query ); 
        // doublequote unquoting
    $query = preg_replace( &#39;|(?<!%)%f|&#39; , &#39;%F&#39; , $query ); 
        // Force floats to be locale unaware
    $query = preg_replace( &#39;|(?<!%)%s|&#39;, "&#39;%s&#39;" , $query ); 
        // quote the strings, avoiding escaped strings like %%s
    array_walk( $args, array( $this, &#39;escape_by_ref&#39; ) );
    return @ vsprintf( $query, $args );
}

Résumé

La sécurité est très importante aussi, on voit que les compétences de base d'une personne, le projet l'est. plein de failles et d'évolutivité. Peu importe la qualité de la maintenabilité. Soyez plus attentif aux heures ordinaires, prenez conscience de la sécurité et développez une habitude. Bien sûr, certaines mesures de sécurité de base ne prendront pas le temps de coder. Si vous développez cette habitude, même si le projet est urgent et que le temps presse, vous pouvez toujours le réaliser avec une grande qualité. N'attendez pas que toutes les choses dont vous serez responsable à l'avenir, y compris la base de données, soient supprimées et que des pertes soient causées avant de prendre cela au sérieux. encouragement mutuel !

Articles associés :

Explication détaillée de la façon d'empêcher l'injection SQL dans php

Introduction à la fonction de php pour empêcher l'injection de SQL

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!