コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ バックエンド開発 PHPチュートリアル PHPでSQLインジェクションを防ぐ方法とサンプルコード

PHPでSQLインジェクションを防ぐ方法とサンプルコード

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jul 25, 2016 am 09:12 AM

PHP による SQL インジェクションの防止は、非常に重要なセキュリティ方法です。

優れた PHP プログラマーは、コードをスムーズに記述できることに加えて、プログラムを安全な環境に保管する能力も必要です。今回はPHPでSQLインジェクションを防ぐ方法を説明します。 Web サイトのセキュリティに関しては、SQL インジェクションについて言及する必要があります。ASP を使用したことがある場合は、SQL インジェクションについて深く理解しておく必要があります。これは、mysql4 より前のバージョンではサブタイトル ステートメントがサポートされていないためです。 、およびphp.iniのmagic_quotes_gpcがオンの場合。

送信された変数内のすべての ' (一重引用符)、" (二重引用符)、(バックスラッシュ) および null 文字は、バックスラッシュを含むエスケープ文字に自動的に変換され、SQL インジェクションで多くの問題を引き起こします。 はっきりと見てください: これは単なる「トラブル」です ~ これは、PHP が SQL インジェクションを防止するという意味ではありません。この本では、SQL ステートメントを ASCII エンコーディングに変換するなど、エスケープをバイパスするためにインジェクション ステートメントのエンコーディングを変更する方法について説明しています。 char (100,58,92,108,111,99,97,108,104,111,115,116...) 形式)、または 16 進エンコーディング、または他の形式のエンコーディングに変換されると、エスケープ フィルターがバイパスされるため、それを防ぐ方法は次のとおりです。

a. magic_quotes_gpc を開くか、addslashes() 関数を使用します 新しいバージョンの PHP では、magic_quotes_gpc がオンになっている場合でも、addslashes() 関数を使用するときに競合は発生しません。ただし、バージョンの互換性をより高めるために、転送関数を使用する前に magic_quotes_gpc のステータスを確認することをお勧めします。 、または以下のようにコードを直接オフにします。 SQLインジェクションを防ぐPHPコード

  1. //エスケープ文字を削除
  2. functiontripslashes_array($array) {
  3. if (is_array($array)) {
  4. foreach ($array as $k => $v) {
  5. $array[$ k ] = ストリップスラッシュ($v);
  6. }
  7. } else if (is_string($array)) {
  8. $array = ストリップスラッシュ($array);
  9. @set_magic_quotes_runtime(0); / magic_quotes_gpc のステータスを決定する
  10. if (@get_magic_quotes_gpc()) {
  11. $_get =tripslashes_array($_post);
  12. $_cookie =tripslashes_array($_cookie);
  13. コピーコード
  16. magic_quotes_gpc のエスケープを削除して、addslashes 関数を使用します。 コードは次のとおりです。 SQLインジェクションを防ぐPHPコード
$keywords = addlashes($keywords); $keywords = str_replace("_","_",$keywords);//エスケープ "_" $keywords = str_replace("%" ," %",$keywords);//Escape "%"

コードをコピー
  1. 最後の 2 つの str_replace 置換エスケープの目的は、ハッカーが攻撃のために SQL エンコーディングを変換するのを防ぐことです。
  3. b. 強制文字フォーマット (タイプ) 多くの場合、xxx.php?id=xxx のような URL を使用する必要があります。一般に、$id は整数変数であり、攻撃者が $id を攻撃ステートメントに改ざんするのを防ぐために、変数を強制的に使用する必要があります。以下のとおりであります : SQLインジェクションを防ぐPHPコード
  4. $id=intval($_get['id']);
  5. もちろん、他の変数タイプもあります。必要に応じてフォーマットを強制してみてください。
c. SQL ステートメントには引用符で囲まれた変数が含まれています これは非常にシンプルですが、習慣を形成するのも簡単です。まず、次の 2 つの SQL ステートメントを見てみましょう。

select*fromarticlewherearticleid='$id' select*fromarticle wherearticleid=$id

コードをコピー

どちらの書き方も様々なプログラムで一般的ですが、安全ではありません最初の文は変数 $id を一重引用符で囲んでいるため、送信した変数が文字列に変換されますが、正しい SQL ステートメントが含まれている場合でも、2 番目の文は実行されません。通常、この 2 つの文は異なります。変数は一重引用符で囲まれていないため、送信するすべてにスペースが含まれている限り、スペースの後の変数が SQL ステートメントとして実行されます。そのため、引用符を追加する習慣を身に付ける必要があります。 SQL ステートメント内の変数。
  1. d.url 擬似静的 URL 擬似静的とは、discuz! のような URL 書き換え技術です。同様に、すべての URL を xxx-xxx-x.html のような形式に書き換えることをお勧めします。これは SEO に有益であり、一定レベルのセキュリティを実現します。ただし、PHP での SQL インジェクションを防止したい場合は、特定の「通常の」基盤が必要です。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
2週間前 By 尊渡假赌尊渡假赌尊渡假赌
スプリットフィクションを打ち負かすのにどれくらい時間がかかりますか?
1 か月前 By DDD
R.E.P.O.最高のグラフィック設定
2週間前 By 尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
1週間前 By DDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
2週間前 By 尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7409
15
Java チュートリアル
1631
14
CakePHP チュートリアル
1358
52
Laravel チュートリアル
1268
25
PHP チュートリアル
1218
29
もっと見る
Related knowledge
Laravelでフラッシュセッションデータを使用します Laravelでフラッシュセッションデータを使用します Mar 12, 2025 pm 05:08 PM

Laravelは、直感的なフラッシュメソッドを使用して、一時的なセッションデータの処理を簡素化します。これは、アプリケーション内に簡単なメッセージ、アラート、または通知を表示するのに最適です。 データは、デフォルトで次の要求のためにのみ持続します。 $リクエスト -

PHPのカール:REST APIでPHPカール拡張機能を使用する方法 PHPのカール:REST APIでPHPカール拡張機能を使用する方法 Mar 14, 2025 am 11:42 AM

PHPクライアントURL(CURL)拡張機能は、開発者にとって強力なツールであり、リモートサーバーやREST APIとのシームレスな対話を可能にします。尊敬されるマルチプロトコルファイル転送ライブラリであるLibcurlを活用することにより、PHP Curlは効率的なexecuを促進します

Laravelテストでの簡略化されたHTTP応答のモッキング Laravelテストでの簡略化されたHTTP応答のモッキング Mar 12, 2025 pm 05:09 PM

Laravelは簡潔なHTTP応答シミュレーション構文を提供し、HTTP相互作用テストを簡素化します。このアプローチは、テストシミュレーションをより直感的にしながら、コード冗長性を大幅に削減します。 基本的な実装は、さまざまな応答タイプのショートカットを提供します。 Illuminate \ support \ facades \ httpを使用します。 http :: fake([[ 'google.com' => 'hello world'、 'github.com' => ['foo' => 'bar']、 'forge.laravel.com' =>

Codecanyonで12の最高のPHPチャットスクリプト Codecanyonで12の最高のPHPチャットスクリプト Mar 13, 2025 pm 12:08 PM

顧客の最も差し迫った問題にリアルタイムでインスタントソリューションを提供したいですか? ライブチャットを使用すると、顧客とのリアルタイムな会話を行い、すぐに問題を解決できます。それはあなたがあなたのカスタムにより速いサービスを提供することを可能にします

PHPにおける後期静的結合の概念を説明します。 PHPにおける後期静的結合の概念を説明します。 Mar 21, 2025 pm 01:33 PM

記事では、PHP 5.3で導入されたPHPの後期静的結合(LSB)について説明し、より柔軟な継承を求める静的メソッドコールのランタイム解像度を可能にします。 LSBの実用的なアプリケーションと潜在的なパフォーマ

Laravelサービスプロバイダーを登録および使用する方法 Laravelサービスプロバイダーを登録および使用する方法 Mar 07, 2025 am 01:18 AM

Laravelのサービスコンテナとサービスプロバイダーは、そのアーキテクチャの基本です。 この記事では、サービスコンテナ、詳細サービスプロバイダーの作成、登録、および実用的な使用法を例で説明します。 Oveから始めます

PHPロギング:PHPログ分析のベストプラクティス PHPロギング:PHPログ分析のベストプラクティス Mar 10, 2025 pm 02:32 PM

PHPロギングは、Webアプリケーションの監視とデバッグ、および重要なイベント、エラー、ランタイムの動作をキャプチャするために不可欠です。システムのパフォーマンスに関する貴重な洞察を提供し、問題の特定に役立ち、より速いトラブルシューティングをサポートします

フレームワークのカスタマイズ/拡張:カスタム機能を追加する方法。 フレームワークのカスタマイズ/拡張:カスタム機能を追加する方法。 Mar 28, 2025 pm 05:12 PM

この記事では、フレームワークにカスタム機能を追加し、アーキテクチャの理解、拡張ポイントの識別、統合とデバッグのベストプラクティスに焦点を当てています。

See all articles