php SQLインジェクション防止に関する経験

原文 http://www.cnblogs.com/liuzhang/p/4753467.html

原因

その1この認識がないと、一部のデータは厳密に検証されず、クエリ用に SQL に直接接続されてしまいます。

$id = $_GET['id'];  $sql = "SELECT name FROM users WHERE id = $id";

$_GET['id'] にはデータ型の検証がないため、インジェクターは「and 1= 1 or」などのあらゆる種類のデータを送信できます。 、これは安全でないデータです。以下のように書いた方が安全です。

$id = intval($_GET['id']);  $sql = "SELECT name FROM users WHERE id = $id";

安全でないものを削除するには、id を int 型に変換します。

データの検証

インジェクションを防ぐ最初のステップは、データを検証することです。データは、対応するタイプに従って厳密に検証できます。たとえば、int 型は intval を通じて直接変換できます。

$id =intval( $_GET['id']);

文字は処理がより複雑です。 まず、sprintf 関数を使用して出力をフォーマットし、文字列であることを確認します。次に、いくつかのセキュリティ関数を使用して、次のようないくつかの不正な文字を削除します。

$str = addslashes(sprintf("%s",$str)); //也可以用 mysqli_real_escape_string 函数替代addslashes

これは、将来的にはより安全になります。もちろん、次のような「バッファ オーバーフロー攻撃」を防ぐために文字列の長さをさらに決定することもできます。

$str = addslashes(sprintf("%s",$str));  $str = substr($str,0,40); //最大长度为40

パラメータ化されたバインディング

パラメータ化されたバインディング、別のバリアSQLインジェクションを防ぐため。 php MySQLi と PDO はどちらもそのような機能を提供します。たとえば、MySQLi は次のようなクエリを実行できます。

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");$code = 'DEU';$language = 'Bavarian';$official = "F";$percent = 11.2;$stmt->bind_param('sssd', $code, $language, $official, $percent);

PDO は次のようにさらに便利です。

/* Execute a prepared statement by passing an array of values */$sql = 'SELECT name, colour, calories  FROM fruit  WHERE calories < :calories AND colour = :colour'; $sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));$sth->execute(array(':calories' => 150, ':colour' => 'red'));$red = $sth->fetchAll();$sth->execute(array(':calories' => 175, ':colour' => 'yellow'));$yellow = $sth->fetchAll();

私たちのほとんどはプログラミングに PHP フレームワークを使用します。自分で実行しないことをお勧めします。フレームワークによって指定されたパラメーター バインディングに従って SQL とクエリを記述します。より複雑な SQL ステートメントに遭遇した場合は、自分でステートメントを記述する際に厳密な判断に注意する必要があります。 wordprss dbクエリ文など、PDOやMySQLiを使わずに用意されたものを自分で書くこともでき、厳密な型検証も受けていることがわかります。

function prepare( $query, $args ) {  if ( is_null( $query ) )     return;  // This is not meant to be foolproof --        but it will catch obviously incorrect usage.  if ( strpos( $query, '%' ) === false ) {     _doing_it_wrong( 'wpdb::prepare' ,      sprintf ( __( 'The query argument of %s         must have a placeholder.' ), 'wpdb::prepare()' ), '3.9' );   }  $args = func_get_args();  array_shift( $args );  // If args were passed as an array (as in vsprintf), move them up  if ( isset( $args[ 0] ) && is_array( $args[0]) )     $args = $args [0];  $query = str_replace( "'%s'", '%s' , $query );     // in case someone mistakenly already singlequoted it  $query = str_replace( '"%s"', '%s' , $query );     // doublequote unquoting  $query = preg_replace( '|(?<!%)%f|' , '%F' , $query );     // Force floats to be locale unaware  $query = preg_replace( '|(?<!%)%s|', "'%s'" , $query );     // quote the strings, avoiding escaped strings like %%s  array_walk( $args, array( $this, 'escape_by_ref' ) );  return @ vsprintf( $query, $args );}

まとめ

セキュリティは非常に重要であり、基本的なスキルを持っている人がいないと、プロジェクトは抜け穴だらけで、何をしても役に立たないこともわかります拡張性と保守性がいかに優れているか。平時より注意を払い、安全意識を確立し、習慣を身に付けましょう もちろん、基本的な安全性についてはコーディングに時間を費やす必要はありません。この習慣を身につければ、たとえ緊急で時間が短いプロジェクトであっても、高い品質でプロジェクトを遂行することができます。データベースを含め、将来的に責任を負うすべてのものが奪われ、損失が発生するまで待ってから真剣に対処しないでください。相互励まし合います！