コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ > データベース > mysql チュートリアル > PHP アプリケーションの SQL インジェクションの脆弱性を効果的に防ぐにはどうすればよいですか?

PHP アプリケーションの SQL インジェクションの脆弱性を効果的に防ぐにはどうすればよいですか?

Barbara Streisand
リリース: 2025-01-25 22:12:09
オリジナル
941 人が閲覧しました

How to Effectively Prevent SQL Injection Vulnerabilities in PHP Applications?

SQL インジェクションから PHP アプリケーションを保護する

はじめに

SQL インジェクションは依然として重大なセキュリティ脅威であり、攻撃者が悪意のある SQL コードをユーザー入力に挿入することでデータベースを侵害する可能性があります。 これにより、不正なデータへのアクセス、変更、削除が行われる可能性があります。このガイドでは、PHP における強力な SQL インジェクション防止のためのベスト プラクティスについて概説します。

未検証のユーザー入力の危険

未検証のユーザー入力は主な脆弱性です。 適切な検証とサニタイズを行わずにユーザー入力を SQL クエリに直接組み込むと、重大なセキュリティ リスクが生じます。 例:

<code class="language-php">$userInput = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$userInput')");</code>
ログイン後にコピー

ユーザーが '); と入力した場合DROP TABLE テーブル;--、結果のクエリは次のようになります:

<code class="language-sql">INSERT INTO `table` (`column`) VALUES(''); DROP TABLE table;--')</code>
ログイン後にコピー

これは破壊的なコマンドを実行し、テーブル全体を削除します。

解決策: 準備されたステートメントとパラメーター化されたクエリ

SQL インジェクションに対する最も効果的な防御策は、プリペアド ステートメントとパラメータ化されたクエリを使用することです。 これらはデータを SQL コードから分離し、データがコマンドとして解釈されるのを防ぎます。

PDO の活用

PDO (PHP Data Objects) は、準備されたステートメントをサポートするデータベース抽象化レイヤーを提供します。 以下に例を示します:

<code class="language-php">$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process $row
}</code>
ログイン後にコピー

MySQLi の利用

MySQLi も同様の機能を提供します。 PHP 8.2 以降の場合:

<code class="language-php">$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process $row
}</code>
ログイン後にコピー

8.2 より前の PHP バージョンの場合:

<code class="language-php">$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process $row
}</code>
ログイン後にコピー

必須の接続構成

PDO: エミュレートされた準備済みステートメントを無効にします:

<code class="language-php">$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);</code>
ログイン後にコピー

MySQLi: 堅牢なエラー レポートと文字セット設定の実装:

<code class="language-php">mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4');</code>
ログイン後にコピー

結論

これらのベスト プラクティスを実装すると、SQL インジェクションの脆弱性のリスクが大幅に軽減されます。 SQL コードからデータを分離すること、準備されたステートメントとパラメーター化されたクエリを一貫して使用すること、データベース接続を安全に構成することを優先します。 これにより、データベースの継続的なセキュリティと整合性が確保されます。

以上がPHP アプリケーションの SQL インジェクションの脆弱性を効果的に防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

前の記事:準備されたステートメントとパラメーター化されたクエリは、PHPでのSQL注入をどのように防ぐことができますか? 次の記事:PHP アプリケーションでの SQL インジェクションを防ぐにはどうすればよいですか?
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
function_exists() はカスタム関数を決定できません Function test () {return true;} if (function_exists ('test')) {echo "テストは関数です";
から 2024-04-29 11:01:01
0
3
2662
Google Chromeのモバイル版を表示する方法 こんにちは、先生、Google Chrome をモバイル版に変更するにはどうすればよいですか?
から 2024-04-23 00:22:19
0
11
2782
子ウィンドウは親ウィンドウを操作しますが、出力は応答しません。 最初の 2 つの文は実行可能ですが、最後の文は実装できません。
から 2024-04-19 15:37:47
0
1
2356
親ウィンドウには出力がありません document.onclick = function(){ window.opener.document.write('私は子ウィンドウの出力です');
から 2024-04-18 23:52:34
0
1
2220
CSS マインド マッピングに関するコースウェアはどこにありますか? コースウェア
から 2024-04-16 10:10:18
0
0
2321
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート