コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPの問題 > 本文

PHPでのSQLインジェクションを防ぐにはどうすればよいですか?

青灯夜游
リリース: 2023-02-26 13:44:01
オリジナル
10773 人が閲覧しました

SQL インジェクション (SQLi) は、悪意のある SQL ステートメントを実行できるインジェクション攻撃です。攻撃者はデータベース クエリに任意の SQL コードを挿入することで、Web アプリケーションの背後にあるデータベース サーバーを完全に制御できるようになります。

PHPでのSQLインジェクションを防ぐにはどうすればよいですか?

攻撃者は、SQL インジェクションの脆弱性を利用してアプリケーションのセキュリティ対策をバイパスし、Web ページまたは Web アプリケーションの認証と認可をバイパスし、SQL データベース全体のコンテンツを取得することができます。 ; SQL インジェクションは、データベース内のレコードの追加、変更、削除にも使用できます。

PHP での SQL インジェクションを防ぐにはどうすればよいですか?

1. SQL インジェクション攻撃に対して最も脆弱になるのはどんなときですか?

アプリケーションが入力コンテンツを使用して動的 SQL ステートメントを構築し、データベース SQL インジェクション攻撃が発生します

2. SQL インジェクションを防ぐ方法

a.ユーザー入力を決して信頼せず、ユーザー入力を検証してください。正規表現を使用するか、一重引用符と「_」を変換する長さを制限してください。

非推奨: 

//$user = htmlspecialchars(addslashes($user));
 //$pwd = htmlspecialchars(addslashes($pwd));
 //$yzm = htmlspecialchars(addslashes($yzm));
ログイン後にコピー

使用する必要があります: 

$user = htmlspecialchars(addslashes($user));
$pwd = htmlspecialchars(addslashes($pwd));
$yzm = htmlspecialchars(addslashes($yzm));
ログイン後にコピー

b, SQL の動的アセンブリは絶対に使用しないでください。パラメータ化された SQL を使用するか、データ クエリとアクセスにストアド プロシージャを直接使用できます。

推奨されません: 

// $sql = "select * from user where user='$user' and pwd ='$pwd'";
ログイン後にコピー

使用する必要があります:

$sql = "select * from user where user=? and pwd =?";
ログイン後にコピー

c, 管理者権限を持つデータベース接続は決して使用しないでください。アプリケーションごとに制限されたアクセス許可を持つ別のデータ接続を使用してください。

$conn = @new mysqli('localhost','root','','myschool');
if($conn->connect_error){
die('连接数据库失败');
}
 
$conn->set_charset('utf8');
ログイン後にコピー

d, 機密情報を直接保存しないでください。 、パスワードと機密情報を暗号化または HASH します

e、QL インジェクションの検出方法は、通常、補助ソフトウェアまたは Web サイト プラットフォーム検出を使用します。ソフトウェア 通常、SQL インジェクション検出ツール jsky が使用されます。 . Web サイト プラットフォームには Yisi があります。Web サイト プラットフォーム検出ツール

3 と php mysqli 拡張機能の前処理

は、mysqli 操作でよく使用されます。その 3 つの主要なクラスが含まれます: MYSQLIクラス、MYSQL_STMT クラス、MYSQLI_RESULT クラス、前処理は主に MYSQL_STMT クラスを使用して完了します。

前処理は SQL インジェクションを防ぐ重要な手段であり、Web サイトのセキュリティを向上させる上で非常に重要です。前処理ステートメントの動作原理:

(1) 前処理: Create SQL ステートメント テンプレートを作成し、それをデータベースに送信します。予約された値はパラメータでマークされていますか?

例: myguests(firstname,lastname,email) 値に挿入 (?,?,?)

(2) データベース分析、コンパイル、SQL ステートメント テンプレートのクエリ最適化、およびstorage 結果は出力されません 

if ($stmt = $conn->prepare($sql)) {
 
$stmt -> bind_param("ss",$user,$pwd);
$stmt -> execute();
$stmt -> store_result();
    //$res = $conn ->query($sql);
  if ($stmt->num_rows==0) {
show_error('输入的用户名或密码错误','demo1.html');
   }
   $stmt -> close();
}
$conn ->close();
ログイン後にコピー

(3) 実行 最後にアプリケーションがバインドした値をパラメータ(?マーク)に渡します データベースがステートメントを実行します アプリケーションはステートメントを実行できます

PHP 関連の詳細については、PHP 中国語 Web サイトをご覧ください。

以上がPHPでのSQLインジェクションを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
php SQLインジェクション
ソース:php.cn
前の記事:PHPでの同時実行性の高さの問題を解決するにはどうすればよいですか? 次の記事:PHP で年がうるう年かどうかを判断するにはどうすればよいですか?
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
URL パラメータから取得した PHP 配列が期待どおりに動作しない カテゴリ ID を含む URL パラメータがあり、それを次のような配列として扱いたいと考えています: http://example.com?cat[]=3,9,13 PHP では、...
から 2024-04-06 22:09:02
0
1
1428
ApacheのどこにCustomLogディレクティブを配置すればよいですか 私はphp:7.2-apachedockerを使用しています。ヘルスチェック URL ログイン アクセス ログを無効にする必要があります。このリンクに基づいて、Customlog ...
から 2024-04-06 22:03:59
0
1
990
戻り値の変数の形式は何ですか? 私はphpの初心者です。コードを見つけました: if($x<time()){return[false,'error'];} ロジックや変数は重要ではありませんが、[false...
から 2024-04-06 21:55:20
0
1
778
opentbs を使用して odt ファイルを生成するときに発生する問題: 同じキーの値が別の列ではなく同じ行に表示されます。 PHPでodtを作成するためにOpenTbsというライブラリを使っていますが、列と行が動的に生成されるので利用しています。行と列の作成方法は知っていますが、それらを整理する方法がわ...
から 2024-04-06 20:18:18
0
1
483
ループするために MySQL の結果を ID ごとにグループ化する mysqlにフライトデータを含むテーブルがあります。 codeigniter3Journey_idair_idFlightDurationout_or_inflightdurati...
から 2024-04-06 17:27:56
0
1
406
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート