PHP で SQL インジェクションを防ぐにはどうすればよいですか? _PHP チュートリアル-PHPチュートリアル-php.cn

PHP で SQL インジェクションを防ぐにはどうすればよいですか? _PHP チュートリアル

WBOY

リリース： 2016-07-13 10:29:08

オリジナル

881 人が閲覧しました

問題の説明:

ユーザーが入力したデータが処理されずに SQL クエリステートメントに挿入された場合、次の例のように、アプリケーションは SQL インジェクション攻撃を受ける可能性があります。リーリー

ユーザーの入力は次のようになります:

リーリー

その後、SQL クエリは次のようになります:

リーリー

SQL インジェクションを防ぐためにはどのような効果的な方法を採用する必要がありますか?

ベストアンサーは

Theo からです):

プリペアドステートメントとパラメータ化されたクエリを使用します。準備されたステートメントとパラメータはそれぞれ解析のためにデータベースサーバーに送信され、パラメータは通常の文字として扱われます。このアプローチにより、攻撃者による悪意のある SQL の挿入が防止されます。このメソッドを実装するには 2 つのオプションがあります:

1. PDO を使用します: リーリー

2. mysqli を使用します: リーリー

PDO デフォルトで PDO を使用すると、MySQL データベースが実際のプリペアドステートメントを実行できないことに注意してください (以下を参照)。この問題を解決するには、準備されたステートメントの PDO エミュレーションを無効にする必要があります。 PDO を正しく使用してデータベース接続を作成する例は次のとおりです:

リーリー

上記の例では、エラー報告モード (ATTR_ERRMODE) は必須ではありませんが、追加することをお勧めします。このようにして、致命的なエラー (Fatal Error) が発生した場合でも、スクリプトの実行は停止されませんが、プログラマは PDOExceptions をキャッチしてエラーを適切に処理できるようになります。ただし、最初の setAttribute() 呼び出しが必要です。これにより、PDO によるプリペアドステートメントのシミュレーションが無効になり、実際のプリペアドステートメントが使用されます。つまり、MySQL がプリペアドステートメントを実行します。これにより、ステートメントとパラメータが MySQL に送信される前に PHP によって処理されていないことが保証され、攻撃者による悪意のある SQL の挿入が防止されます。理由を理解するには、このブログ投稿を参照してください:

PDO アンチインジェクション原理の分析と PDO 使用時の注意点。 PHP の古いバージョン (5.3.6 未満) では、PDO コンストラクターの DSN を介して文字セットを設定できないことに注意してください。次を参照してください: charset パラメータをサイレントに無視しました。

分析

前処理と解析のために SQL ステートメントをデータベースサーバーに送信するとどうなりますか?上記の例のように、プレースホルダーに ? または :name を指定して、データベースエンジンにフィルタリングする場所を指示します。 execute を呼び出すと、準備されたステートメントは指定したパラメーター値と結合されます。重要な点はここです。パラメータ値は SQL 文字列ではなく、解析された SQL ステートメントと結合されます。 SQL インジェクションは、SQL ステートメントの作成時に悪意のある文字列を含むスクリプトによってトリガーされます。したがって、SQL ステートメントとパラメーターを分離することで、SQL インジェクションのリスクを回避できます。送信するパラメータ値は通常の文字列として扱われ、データベースサーバーによって解析されません。上記の例に戻ると、$name 変数の値が 'Sarah'; DELETE FROM 従業員の場合、実際のクエリは、name フィールドの値が 'Sarah' である従業員内のレコードを検索することになります。プリペアドステートメントを使用するもう 1 つの利点は、同じデータベース接続セッションで同じステートメントを何度も実行しても、解析されるのは 1 回だけになるため、実行速度が少し向上することです。挿入方法を知りたい場合は、PDO を使用した次の例を参照してください):

リーリー

翻訳リンク:

http://blog.jobbole.com/67875/