PHP で SQL インジェクション攻撃を防ぐ方法

Web アプリケーションでは、SQL インジェクション攻撃が一般的な攻撃方法です。これは、アプリケーションがユーザー入力をフィルタリングまたは制限できないことを利用して、悪意のある SQL ステートメントをアプリケーションに挿入し、データベースを攻撃者に制御させて機密データを盗み出します。 PHP 開発者にとって、SQL インジェクション攻撃を効果的に防ぐ方法は習得しなければならないスキルです。

この記事では、PHP で SQL インジェクション攻撃を防止するためのベスト プラクティスを紹介します。PHP 開発者は、次の手順に従ってアプリケーションを保護することをお勧めします。

1. プリペアド ステートメントを使用する

プリペアド ステートメントは、PHP での SQL インジェクション攻撃を防ぐためのベスト プラクティスです。 SQL クエリ ステートメントをデータベースに送信する前に、SQL ステートメントのパラメータ プレースホルダを定義します。クエリ内のパラメーターはプレースホルダーでバインドされ、データベースに対して実行されるため、悪意を持って挿入された SQL ステートメントが回避されます。

次は、PDO プリペアド ステートメントを使用して SQL クエリを実行する例です:

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$username]);
$results = $stmt->fetchAll();

この例では、$pdo は PDO 接続オブジェクト $ です。 username は、照会されるユーザー名です。 prepare() メソッドはクエリ前処理ステートメントを定義し、パラメーターの代わりにプレースホルダー ? を使用します。 execute()このメソッドは、準備されたステートメントのパラメーターをプレースホルダーにバインドし、データベースに対してクエリを実行します。最後に、クエリ結果を $results 変数に保存します。

2. パラメーター化されたクエリを使用する

パラメーター化されたクエリは、PHP での SQL インジェクション攻撃を防ぐためのもう 1 つのベスト プラクティスです。プリペアド ステートメントと同様に、プレースホルダーを使用して必要なクエリ パラメーターを置き換えますが、SQL クエリ ステートメント内でプレースホルダーを明示的に定義します。

次は、mysqli パラメータ化クエリを使用して SQL クエリを実行する例です:

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bind_param('s', $username);
$stmt->execute();
$results = $stmt->get_result();

この例では、$mysqli は mysqli 接続オブジェクト $ です。 username は、照会されるユーザー名です。 prepare() メソッドは、クエリのパラメータ化されたステートメントを定義し、パラメータの代わりにプレースホルダ ? を使用します。 bind_param()このメソッドは、プレースホルダーを $username にバインドします。最後に、execute() メソッドを呼び出してクエリを実行し、get_result() メソッドを呼び出してクエリの結果を取得します。

パラメータ化されたクエリ メソッドを使用するには、プリペアド ステートメント メソッドと比較してパラメータをバインドする手順が 1 つ多く必要であり、使用するのが比較的面倒です。ただし、パラメーター化されたクエリはより柔軟で、一部の複雑な SQL ステートメントをより適切に処理できます。

3. フィルターの使用

PHP には、入力値のフィルター処理と検証に使用できる多数の組み込みフィルター関数があります。適切なフィルター関数を使用すると、入力値が特定の形式または仕様に準拠していることを確認し、入力値が SQL インジェクション攻撃に使用されるのを防ぐことができます。

次は、filter_input() 関数を使用してユーザー入力をフィルタリングする例です:

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
$password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);

この例では、filter_input() 関数が使用されています ユーザーが入力したユーザー名とパスワードをフィルターします。最初のパラメータ INPUT_POST はフィルタリングされた入力タイプを指定します。これはここでは POST リクエストを指します。 2 番目のパラメータ username と password は、それぞれ POST リクエストで渡される変数名です。 3 番目のパラメーター FILTER_SANITIZE_STRING は、すべての不正な文字をフィルターして削除し、文字列内の文字と数字を保持するために使用されます。

フィルターの使用は、クライアント側でのユーザー入力の検証レイヤーに相当します。さまざまなフィルター関数でさまざまなタイプの入力をフィルターできるため、開発者は SQL インジェクション攻撃を効果的に防ぐことができます。

4. データベース ユーザーの権限を制限する

最後に、データベース ユーザーがデータベースにアクセスするための最小限の権限のみを持っていることを確認します。変更、挿入、削除などの操作権限のみを持ち、クエリ権限や選択権限を持たないデータベース ユーザーは、不正な命令を含むクエリを実行できないため、悪意のある SQL インジェクション攻撃を防ぐことができます。

つまり、PHP での SQL インジェクション攻撃を防ぐことが重要です。準備されたステートメント、パラメーター化されたクエリ、フィルターを使用し、データベース ユーザーの権限を制限することにより、開発者は悪意のある攻撃からアプリケーションを保護できます。

以上がPHP で SQL インジェクション攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。