PHP アプリケーションでの SQL インジェクションを防ぐにはどうすればよいですか?
PHP での SQL インジェクションを防止
SQL インジェクションは、変更されていないユーザー入力が SQL クエリに誤って挿入された場合に発生する脆弱性です。これにより、攻撃者が任意の SQL コードを実行できるようになり、アプリケーションに壊滅的な影響を与える可能性があります。
SQL インジェクションを防ぐには、データを SQL から分離し、データが常にデータとして残り、SQL パーサーによってコマンドとして解釈されないようにすることが重要です。これは、パラメータを指定したプリペアド ステートメントを使用することで実現できます。これにより、SQL クエリがデータベース サーバーに送信され、パラメータとは別に解析されます。これにより、攻撃者は悪意のある SQL を挿入できなくなります。
これを実現するには 2 つの方法があります:
- PDO を使用します (サポートされているデータベース ドライバーで動作します)
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);
foreach ($stmt as $row) {
// 处理 $row
}- MySQLi の使用 (MySQL 用)
PHP 8.2:
$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
// 处理 $row
}PHP 8.1 以前:
$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定变量类型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// 处理 $row
} MySQL 以外のデータベースに接続している場合は、2 番目のドライバー固有のオプション (PostgreSQL の pg_prepare() および pg_execute() など) を参照できます。 PDO は普遍的な選択肢です。
正しい接続構成
PDO を使用して MySQL データベースにアクセスする場合、デフォルトでは実際のプリペアド ステートメントは使用されません。この問題を解決するには、準備されたステートメントのシミュレーションを無効にする必要があります。 PDO を使用して接続を作成する方法の例を次に示します:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);MySQLi の場合、同じ操作を実行する必要があります:
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 编码説明
prepare に渡す SQL クエリは、データベース サーバーによって解析され、コンパイルされます。パラメーター (? または上記の :name の例のような名前付きパラメーター) を指定することで、何に基づいてフィルターするかをデータベース カーネルに伝えます。次に、execute が呼び出されると、前処理されたクエリが指定したパラメーター値と結合されます。
パラメータ値は SQL 文字列ではなく、コンパイルされたクエリと結合されることが重要です。 SQL インジェクションは、データベースに送信する SQL を作成するときに、スクリプトをだまして悪意のある文字列を含めることによって機能します。したがって、実際の SQL をパラメータとは別に送信することで、予期しない結果が得られるリスクを軽減できます。
準備されたステートメントを使用して送信されたパラメーターはすべて、単純に文字列として扱われます (ただし、データベース カーネルは最適化を実行するため、パラメーターが数値である場合もあります)。上の例では、変数 $name に 'Sarah'; DELETE FROM employees が含まれている場合、結果は検索文字列 "'Sarah'; DELETE FROM employees " のみとなり、テーブルはクリアされません。
準備されたステートメントを使用するもう 1 つの利点は、同じセッション内で同じクエリを複数回実行する場合、解析とコンパイルが 1 回だけで済むため、速度が向上することです。
以上がPHP アプリケーションでの SQL インジェクションを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1667
14
1426
52
1328
25
1273
29
1255
24
MySQLの役割:Webアプリケーションのデータベース
Apr 17, 2025 am 12:23 AM
WebアプリケーションにおけるMySQLの主な役割は、データを保存および管理することです。 1.MYSQLは、ユーザー情報、製品カタログ、トランザクションレコード、その他のデータを効率的に処理します。 2。SQLクエリを介して、開発者はデータベースから情報を抽出して動的なコンテンツを生成できます。 3.MYSQLは、クライアントサーバーモデルに基づいて機能し、許容可能なクエリ速度を確保します。
Innodb Redoログの役割を説明し、ログを元に戻します。
Apr 15, 2025 am 12:16 AM
INNODBは、レドログと非論的なものを使用して、データの一貫性と信頼性を確保しています。 1.レドログは、クラッシュの回復とトランザクションの持続性を確保するために、データページの変更を記録します。 2.Undologsは、元のデータ値を記録し、トランザクションロールバックとMVCCをサポートします。
MySQLの場所:データベースとプログラミング
Apr 13, 2025 am 12:18 AM
データベースとプログラミングにおけるMySQLの位置は非常に重要です。これは、さまざまなアプリケーションシナリオで広く使用されているオープンソースのリレーショナルデータベース管理システムです。 1)MySQLは、効率的なデータストレージ、組織、および検索機能を提供し、Web、モバイル、およびエンタープライズレベルのシステムをサポートします。 2)クライアントサーバーアーキテクチャを使用し、複数のストレージエンジンとインデックスの最適化をサポートします。 3)基本的な使用には、テーブルの作成とデータの挿入が含まれ、高度な使用法にはマルチテーブル結合と複雑なクエリが含まれます。 4)SQL構文エラーやパフォーマンスの問題などのよくある質問は、説明コマンドとスロークエリログを介してデバッグできます。 5)パフォーマンス最適化方法には、インデックスの合理的な使用、最適化されたクエリ、およびキャッシュの使用が含まれます。ベストプラクティスには、トランザクションと準備された星の使用が含まれます
MySQL対その他のプログラミング言語:比較
Apr 19, 2025 am 12:22 AM
他のプログラミング言語と比較して、MySQLは主にデータの保存と管理に使用されますが、Python、Java、Cなどの他の言語は論理処理とアプリケーション開発に使用されます。 MySQLは、データ管理のニーズに適した高性能、スケーラビリティ、およびクロスプラットフォームサポートで知られていますが、他の言語は、データ分析、エンタープライズアプリケーション、システムプログラミングなどのそれぞれの分野で利点があります。
MySQL:中小企業から大企業まで
Apr 13, 2025 am 12:17 AM
MySQLは、中小企業に適しています。 1)中小企業は、顧客情報の保存など、基本的なデータ管理にMySQLを使用できます。 2)大企業はMySQLを使用して、大規模なデータと複雑なビジネスロジックを処理して、クエリのパフォーマンスとトランザクション処理を最適化できます。
MySQL Index Cardinalityはクエリパフォーマンスにどのように影響しますか?
Apr 14, 2025 am 12:18 AM
MySQLインデックスのカーディナリティは、クエリパフォーマンスに大きな影響を及ぼします。1。高いカーディナリティインデックスは、データ範囲をより効果的に狭め、クエリ効率を向上させることができます。 2。低カーディナリティインデックスは、完全なテーブルスキャンにつながり、クエリのパフォーマンスを削減する可能性があります。 3。ジョイントインデックスでは、クエリを最適化するために、高いカーディナリティシーケンスを前に配置する必要があります。
初心者向けのMySQL:データベース管理を開始します
Apr 18, 2025 am 12:10 AM
MySQLの基本操作には、データベース、テーブルの作成、およびSQLを使用してデータのCRUD操作を実行することが含まれます。 1.データベースの作成:createdatabasemy_first_db; 2。テーブルの作成:createTableBooks(idintauto_incrementprimarykey、titlevarchary(100)notnull、authorvarchar(100)notnull、published_yearint); 3.データの挿入:InsertIntoBooks(タイトル、著者、公開_year)VA
MySQL対その他のデータベース:オプションの比較
Apr 15, 2025 am 12:08 AM
MySQLは、Webアプリケーションやコンテンツ管理システムに適しており、オープンソース、高性能、使いやすさに人気があります。 1)PostgreSQLと比較して、MySQLは簡単なクエリと高い同時読み取り操作でパフォーマンスが向上します。 2)Oracleと比較して、MySQLは、オープンソースと低コストのため、中小企業の間でより一般的です。 3)Microsoft SQL Serverと比較して、MySQLはクロスプラットフォームアプリケーションにより適しています。 4)MongoDBとは異なり、MySQLは構造化されたデータおよびトランザクション処理により適しています。
