プリペアドステートメントは PHP アプリケーションでの SQL インジェクション攻撃をどのように防ぐことができますか?-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

プリペアドステートメントは PHP アプリケーションでの SQL インジェクション攻撃をどのように防ぐことができますか?

DDD

Dec 21, 2024 pm 04:46 PM

How Can Prepared Statements Prevent SQL Injection Attacks in PHP Applications?

PHP での SQL インジェクション攻撃の防止

Web アプリケーションでは、ユーザー入力が処理されないと SQL インジェクションなどの脆弱性を引き起こす可能性があります。きちんと。 SQL インジェクションは、ユーザーが指定したデータが適切な検証やサニタイズを行わずに SQL ステートメントに直接組み込まれた場合に発生します。

問題

次の PHP コードスニペットを考えてみましょう:

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

ログイン後にコピー

ユーザーが value') のような悪意のあるデータを入力した場合。 DROP TABLE table;--、SQL クエリは次のようになります。

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

ログイン後にコピー

これにより、悪意のあるユーザーがデータベースからテーブル全体を削除します。

解決策: 準備されたステートメントとパラメータ化

SQL インジェクションを防ぐために推奨される解決策は、準備されたステートメントとパラメータ化されたステートメントを使用して SQL からデータを分離することです。クエリ。これにより、ユーザー入力が実行可能コマンドとしてではなく、データとして扱われることが保証されます。

PDO の使用

PDO は、さまざまなデータベースドライバーに一貫した汎用インターフェイスを提供します。 PDO でプリペアドステートメントを使用するには:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Do something with $row
}

ログイン後にコピー

MySQLi の使用

特に MySQL の場合、MySQLi は PHP 8.2 でexecute_query() メソッドを提供します。

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

ログイン後にコピー

または、以前の PHP バージョンでは8.2:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type as string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

ログイン後にコピー

他のデータベースドライバーについては、それぞれのドキュメントを参照してください。

適切な接続セットアップ

真の保護を確保するには、これが重要ですデータベース接続を構成するには正しく:

PDO

エミュレートされた準備済みステートメントを無効にする:

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

ログイン後にコピー

MySQLi

エラーを有効にするレポートとキャラクターの設定set:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4');

ログイン後にコピー

説明

準備されたステートメントはデータベースサーバーによって解析およびコンパイルされますが、パラメーターは別個の値として扱われます。これにより、悪意のある入力がコマンドとして解釈されるのを防ぎます。

結論

プリペアドステートメントとパラメータ化を採用することで、PHP Web アプリケーションを SQL インジェクション攻撃から効果的に保護し、維持することができます。データの整合性。

以上がプリペアドステートメントは PHP アプリケーションでの SQL インジェクション攻撃をどのように防ぐことができますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

ホットツール

ホットトピック

Gmailメールのログイン入り口はどこですか？

7543

CakePHP チュートリアル

1381

Steamのアカウント名の形式は何ですか

Win11 Activation Key Permanent

NYTの接続はヒントと回答です

Related knowledge

Alipay PHP SDK転送エラー：「クラスの看板を宣言できない」という問題を解決する方法は？ Apr 01, 2025 am 07:21 AM

Alipay Php ...

JSON Web Tokens（JWT）とPHP APIでのユースケースを説明してください。 Apr 05, 2025 am 12:04 AM

JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。

PHPにおける後期静的結合の概念を説明します。 Mar 21, 2025 pm 01:33 PM

記事では、PHP 5.3で導入されたPHPの後期静的結合（LSB）について説明し、より柔軟な継承を求める静的メソッドコールのランタイム解像度を可能にします。 LSBの実用的なアプリケーションと潜在的なパフォーマ

確固たる原則と、それらがPHP開発にどのように適用されるかを説明してください。 Apr 03, 2025 am 12:04 AM

PHP開発における固体原理の適用には、次のものが含まれます。1。単一責任原則（SRP）：各クラスは1つの機能のみを担当します。 2。オープンおよびクローズ原理（OCP）：変更は、変更ではなく拡張によって達成されます。 3。Lischの代替原則（LSP）：サブクラスは、プログラムの精度に影響を与えることなく、基本クラスを置き換えることができます。 4。インターフェイス分離原理（ISP）：依存関係や未使用の方法を避けるために、細粒インターフェイスを使用します。 5。依存関係の反転原理（DIP）：高レベルのモジュールと低レベルのモジュールは抽象化に依存し、依存関係噴射を通じて実装されます。