PHP で SQL インジェクション分析を防ぐ方法、php が SQL インジェクションを防ぐ

PHP で SQL インジェクション分析を防ぐ方法、PHP は SQL インジェクションを防ぎます

この記事では、PHP で SQL インジェクションを防ぐ方法を例とともに分析します。参考のためにみんなで共有してください。具体的な分析は次のとおりです:

1. 問題の説明:

ユーザーが入力したデータが処理されずに SQL クエリステートメントに挿入された場合、次の例のように、アプリケーションは SQL インジェクション攻撃を受ける可能性があります。

コードをコピーしますコードは次のとおりです:

$unsafe_variable = $_POST['user_input']

mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");

ユーザーの入力は次のようになります:

コードをコピーしますコードは次のとおりです:

value');

その後、SQL クエリは次のようになります:

コードをコピー

コードは次のとおりです: INSERT INTO `table` (`column`) VALUES('value')

SQL インジェクションを防ぐためにはどのような効果的な方法を講じるべきでしょうか?

2. ソリューション分析:

プリペアドステートメントとパラメータ化されたクエリを使用します。準備されたステートメントとパラメータはそれぞれ解析のためにデータベースサーバーに送信され、パラメータは通常の文字として扱われます。このアプローチにより、攻撃者による悪意のある SQL の挿入が防止されます。このメソッドを実装するには 2 つのオプションがあります:

1. PDO を使用します:

コードをコピーします

コードは次のとおりです:$stmt = $pdo->prepare('SELECT * FROM従業員 WHERE name = :name');

$stmt->execute(array('name' => $name));

foreach ($stmt as $row) {
// $row
で何かをする }

2.mysqliを使用します:

コードをコピーします

コードは次のとおりです:$stmt = $dbConnection->prepare('SELECT * FROM従業員 WHERE name = ?'); $stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// $row
で何かをする }

3.PDO

デフォルトで PDO を使用すると、MySQL データベースが実際のプリペアドステートメントを実行できないことに注意してください (理由については以下を参照)。この問題を解決するには、準備されたステートメントの PDO エミュレーションを無効にする必要があります。 PDO を正しく使用してデータベース接続を作成する例は次のとおりです:

コードをコピーします

コードは次のとおりです:$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

上記の例では、エラー報告モード (ATTR_ERRMODE) は必須ではありませんが、追加することをお勧めします。このようにして、致命的なエラー (Fatal Error) が発生した場合でも、スクリプトの実行は停止されませんが、プログラマは PDOExceptions をキャッチしてエラーを適切に処理できるようになります。ただし、最初の setAttribute() 呼び出しが必要です。これにより、PDO によるプリペアドステートメントのシミュレーションが無効になり、実際のプリペアドステートメントが使用されます。つまり、MySQL がプリペアドステートメントを実行します。これにより、ステートメントとパラメータが MySQL に送信される前に PHP によって処理されていないことが保証され、攻撃者による悪意のある SQL の挿入が防止されます。その理由を理解するには、前回の記事「PDO の抗注射原理の分析と PDO 使用上の注意点」を参照してください。 PHP の古いバージョン (5.3.6 未満) では、PDO のコンストラクターの DSN に文字セットを設定できないことに注意してください。「charset パラメーターをサイレントに無視する」を参照してください。

4. 分析

前処理と解析のために SQL ステートメントをデータベースサーバーに送信するとどうなりますか?プレースホルダ (上記の例のように ? または :name) を指定して、データベースエンジンにフィルタリングする場所を伝えます。 execute を呼び出すと、準備されたステートメントは指定したパラメーター値と結合されます。重要な点はここです。パラメータ値は SQL 文字列ではなく、解析された SQL ステートメントと結合されます。 SQL インジェクションは、SQL ステートメントの作成時に悪意のある文字列を含むスクリプトによってトリガーされます。したがって、SQL ステートメントとパラメーターを分離することで、SQL インジェクションのリスクを回避できます。送信するパラメータ値は通常の文字列として扱われ、データベースサーバーによって解析されません。上記の例に戻ると、$name 変数の値が 'Sarah'; DELETE FROM 従業員の場合、実際のクエリは、name フィールドの値が 'Sarah' である従業員内のレコードを検索することになります。プリペアドステートメントを使用するもう 1 つの利点は、同じデータベース接続セッションで同じステートメントを何度も実行した場合、解析されるのは 1 回だけになるため、実行速度が少し向上することです。挿入方法を知りたい場合は、次の例を参照してください (PDO を使用):

コードをコピーしますコードは次のとおりです:

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute(array('column' => $unsafeValue));

この記事で説明した内容が皆様の PHP プログラミング設計に役立つことを願っています。

PHPでSQLインジェクションを防ぐ方法

「いいね！」の多かった質問と回答を翻訳しました。質問: ユーザー入力を SQL ステートメントに直接挿入できる場合、アプリケーションは SQL インジェクション攻撃に対して脆弱になります。例: $unsafe_variable = $_POST['user_input']; INSERT INTO table (column) VALUES ( '" . $unsafe_variable . "')"); ユーザーは次のような値を入力できます: value'); DROP TABLE table;-- 、SQL ステートメントは次のようになります: INSERT INTO table (column) VALUES('value ') ; DROP TABLE table;-') (翻訳者注: この結果、テーブルが削除されます) この状況を防ぐにはどうすればよいでしょうか?回答: プリペアドステートメントとパラメータ化されたクエリを使用します。これらの SQL ステートメントはデータベースサーバーに送信され、そのパラメーターはすべて個別に解析されます。この方法を使用すると、攻撃者が悪意のある SQL を挿入することは不可能になります。これを実現するには、主に 2 つの方法があります。 1. PDO を使用します。 $stmt = $pdo->prepare('SELECT * FROM従業員 WHERE name = :name'); $stmt->execute(array(':name') => $name)); foreach ($stmt as $row) { // $row を使用します: $stmt = $dbConnection->prepare('SELECT * FROM 従業員 WHERE name = ?' ); $stmt->bind_param('s', $name); $stmt->get_result(); $row = $result->fetch_assoc( )) { // $row で何かを行う } PDO PDO を使用して MySQL データベースにアクセスする場合、デフォルトでは実際のプリペアドステートメントは使用されないことに注意してください。この問題を解決するには、シミュレートされた準備済みステートメントを無効にする必要があります。以下は、PDO を使用して接続を作成する例です。 $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); ;setAttribute( PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 上の例では、エラー報告モードは必須ではありませんが、使用することをお勧めします。追加してください。このようにして、何か問題が発生した場合でもスクリプトは致命的なエラーで終了せず、PDO 例外をスローするため、開発者はエラーをキャッチする機会が得られます。ただし、最初の行の setAttribute() は必須であり、これにより PDO はシミュレートされた準備済みを無効にします... テキストの残りの部分>>

PHPでのSQLインジェクションを防ぐ最善の方法は何ですか?

ユーザー入力が SQL ステートメントに直接挿入されるクエリである場合、アプリケーションは次の例のように SQL インジェクションに対して脆弱になります。 $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO table ( column) VALUES ('" . $unsafe_variable . "')"); これは、ユーザーが VALUE"); のようなものを入力してクエリを作成できるためです: 準備されたステートメントとパラメータ化された SQL ステートメントを使用します。攻撃者が悪意を持って SQL を挿入することは不可能です。この目標を達成するには、基本的に 2 つのオプションがあります: 1. PDO (PHP データオブジェクト) を使用します: $stmt = $pdo->prepare ('SELECT * FROM 従業員 WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // $ で何かを行う行 }2. mysqli:$stmt = $dbConnection->prepare('SELECT * FROM 従業員 WHERE name = ?'); $stmt->bind_param('s', $name) ; を使用します。 (); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // $row で何かを行う }PDO(PHP Data Object ) 実際のプリペアドステートメントはPDO を使用する場合、デフォルトでは使用されません! この問題を解決するには、PDO を使用して接続を作成する例を次に示します。 $dbConnection = new PDO('mysql: dbname=dbtest;host=127.0 .0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE , PDO::ERRMODE_EXCEPTION);エラーモード ERRMODE は、上記の例では厳密には必須ではありませんが、追加することをお勧めします。このメソッドは、致命的なエラーが発生した場合でもスクリプトを停止しません。そして、開発者にエラー (PDOException がスローされたとき) を捕捉する機会を与えます。 setAttribute() 行は必須で、エミュレートされたプリペアドステートメントを無効にし、実際のプリペアドステートメントを使用するように PDO に指示します。これにより、ステートメントと値が MySQL データベースサーバーに送信される前に PHP によって解析されなくなります (攻撃者が悪意のある SQL を挿入する機会はありません)。もちろん、特別な注意を払って、コンストラクターオプションで文字セットパラメーターを設定することもできます。「古い」PHP バージョン (5.3.6) では、DSN の文字セットパラメータが無視されます。ここで最も重要なことは、パラメータ値が SQL 文字列ではなく、プリコンパイルされたステートメントと結合されることです。SQL インジェクションの動作原理は、欺瞞によって作成された SQL スクリプトに悪意のある文字列が含まれていることです。 >>