ホームページ > バックエンド開発 > PHPチュートリアル > PDO プリペアド ステートメントは常に SQL インジェクションを防止しますか?

PDO プリペアド ステートメントは常に SQL インジェクションを防止しますか?

Patricia Arquette
リリース: 2024-12-28 00:31:10
オリジナル
452 人が閲覧しました

Do PDO Prepared Statements Always Prevent SQL Injection?

SQL インジェクションを防ぐには、PDO プリペアド ステートメントで十分ですか?

PDO (PHP データ オブジェクト) プリペアド ステートメントは、SQL から保護するための強力なツールです注射。ただし、この脆弱性を確実に防ぐには、その制限を理解することが重要です。

エミュレートされた Prepares の問題:

デフォルトでは、PDO は MySQL の Prepared Statement をエミュレートします。ただし、このエミュレーションにはセキュリティ上の欠陥があり、熟練した攻撃者が悪用できる可能性があります。この攻撃シナリオでは:

  1. サーバーの文字セットは、エスケープされた ' (バックスラッシュ) でエンコードされたマルチバイト文字をサポートするものに設定されています。
  2. ペイロードは、次の組み合わせを含むように作成されます。無効なマルチバイト文字です。
  3. PDO は内部で MySQL C API 関数を呼び出しますmysql_real_escape_string() を使用してペイロードをエスケープします。これは接続文字セットに従って行われます。
  4. ペイロード内の無効なマルチバイト文字は有効な単一バイトとして扱われ、エスケープされない ' 文字が生成されます。
  5. このエスケープされた ' 文字は SQL インジェクションを作成するために使用できます

攻撃の防止:

この攻撃を防止するには、PDO 属性 PDO::ATTR_EMULATE_PREPARES を false に設定して、エミュレートされた準備済みステートメントを無効にします。これにより、PDO はより安全な真のプリペアド ステートメントを使用するようになります。

次の方法で攻撃を軽減することもできます。

  • 接続エンコードに脆弱性のない文字セットを使用する。 UTF-8.
  • NO_BACKSLASH_ESCAPES SQL の有効化mode.

安全な例:

次の例は、PDO プリペアド ステートメントの安全な使用法を示しています。

// Disable emulated prepares and use non-vulnerable character set
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );
ログイン後にコピー
// Use DSN charset parameter in PHP ≥ 5.3.6
$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );
ログイン後にコピー

In結論として、SQL インジェクションを防ぐには通常、PDO プリペアを使用するだけで十分ですが、潜在的な可能性を認識して軽減することが重要です。脆弱性。エミュレートされたプリペアド ステートメントの制限を理解し、互換性のある構成を確保することで、アプリケーションを悪意のあるインジェクションから効果的に保護できます。

以上がPDO プリペアド ステートメントは常に SQL インジェクションを防止しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート