コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP は組み込み関数分析により SQL インジェクションを防止します

WBOY
リリース: 2016-07-29 09:14:59
オリジナル
961 人が閲覧しました

SQLインジェクション攻撃は、ハッカーが Web サイトを攻撃するために使用する最も一般的な方法です。サイトで厳密なユーザー入力検証が使用されていない場合、SQLインジェクション攻撃に対して脆弱になることがよくあります。 SQL インジェクション攻撃は通常、不正なデータやクエリ ステートメントをサイト データベースに送信することによって実行され、データベース内のレコードが公開、変更、または削除される可能性があります。 SQL

インジェクション攻撃

を防ぐために、PHPには入力文字列を処理し、下位レベルで入力に対して事前のセキュリティ処理を実行できる関数、つまりMagic Quoteが付属しています。 (php.ini magic_quotes_gpc)。 magic_quotes_gpc オプションが有効な場合、入力文字列内の単一引用符、二重引用符、およびその他の文字の前にバックスラッシュ / が自動的に付けられます。 しかし、Magic Quotes はあまり普遍的なソリューションではなく、すべての潜在的に危険な文字をブロックするわけではなく、Magic Quotes は多くのサーバーで有効になっていません。したがって、

SQL インジェクション

を防ぐために他のさまざまな方法も使用する必要があります。 多くのデータベースは、この入力データ処理機能をネイティブに提供します。たとえば、PHP の MySQL 操作関数には、addslashes()、mysql_real_escape_string()、mysql_escape_string() およびその他の関数が含まれており、これらの関数は

特殊文字

やデータベース操作エラーの原因となる可能性のある文字をエスケープできます。それでは、これら 3 つの機能の違いは何でしょうか?以下で詳しく説明しましょう。 中国の多くの

PHPプログラマー

は未だにSQLインジェクションを防ぐためにアドスラッシュに依存していますが、依然としてSQLインジェクションを防ぐために中国語チェックを強化することが推奨されています。 addslashes の問題は、ハッカーが単一引用符の代わりに 0xbf27 を使用できることですが、addslashes は 0xbf27 を 0xbf5c27 に変更するだけで、有効なマルチバイト文字となる 0xbf5c は依然として単一引用符とみなされ、そのため addslashes は正常にインターセプトできません。 もちろん、addslashes は、マルチバイト文字の処理に使用されます。mysql_real_escape_string を使用します。

さらに、PHP マニュアルの get_magic_quotes_gpc の例: 

<code><span>if</span> (!get_magic_quotes_gpc()) {
    <span>$lastname</span> = addslashes(<span>$_POST</span>[‘lastname’]);
} <span>else</span> {
    <span>$lastname</span> = <span>$_POST</span>[‘lastname’];
}</code>
ログイン後にコピー

magic_quotes_gpc がすでに開いているときに $_POST['lastname'] を確認するのが最善です。

2 つの関数 mysql_real_escape_string と mysql_escape_string の違いについて話しましょう:

mysql_real_escape_string は (PHP 4 >= 4.3.0、PHP 5) でのみ使用できます。それ以外の場合は、mysql_escape_string のみを使用できます。この 2 つの違いは、mysql_real_escape_string は接続の現在の文字セットを考慮するのに対し、mysql_escape_string は考慮しないことです。


要約すると、

addslashes() は / を強制的に追加します。
  • mysql_real_escape_string() は文字セットを決定しますが、PHP バージョンの要件があります。
  • mysql_escape_string は接続の現在の文字セットを考慮しません。
  • dz で
SQL インジェクション

を防ぐには、addslashes 関数を使用し、同時に dthmlspecialchars 関数でいくつかの置換を行う必要があります $string = preg_replace('/&((((#(/d{3,5} |x[a -fA-F0-9]{4}));)/', '&//1'、この置換によりインジェクションの問題が解決され、中国語の文字化けに関するいくつかの問題も解決されます

http://ブログ.csdn.net/hellollx/article/details/5399760

以上、SQL インジェクションを防ぐための PHP 独自の関数の分析を内容も含めて紹介しましたが、PHP チュートリアルに興味のある友人の参考になれば幸いです。

関連ラベル:
escape mysql quotes string
ソース:php.cn
前の記事:WAMP Server は Windows 上で PHP 統合環境を迅速に構築するのに役立ちます---A Dong のコラム 次の記事:PHP Composerのインストールと使用方法
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
API は postman では動作しますが、Flutter では接続を拒否します postRequest()async{Map\<String,dynamic\>map={'email':'[email protected]','password':...
から 2024-04-06 14:08:33
0
1
340
CURL PHP の結果を読む 私はcurlを実行してJSON結果を取得しています: $data=json_decode($result,true);var_dump($data);$data=$data[&qu...
から 2024-04-03 14:14:03
0
1
320
React: オブジェクトの配列へのインデックスとして状態を使用すると、チェックしたにもかかわらず未定義が返される 私は状態を持っており、それをオブジェクトの配列へのインデックスとして使用します。そのオブジェクトを小道具として他のコンポーネントに渡すとき。チェックを行っても、エラーが発生します:...
から 2024-04-03 14:12:42
0
1
267
LESS string-set に相当する現代のものは何ですか? 文字列セットとその使用例については、「LESS 文字列セットのプロパティとコンテンツ メソッドの使用」を参照してください。 かなり混乱した後、これは古く、Chrome バージョン ...
から 2024-04-02 13:29:36
0
1
361
PHP は 2 つの文字列を分離します PHP 文字列から最初と 2 番目の数値を取得するコードが必要です。 $string="ACCESS_NUMBER:160375356:13176570247"...
から 2024-04-02 08:57:35
0
1
281
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート