简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP開発におけるSQLインジェクション攻撃を防ぐ方法

WBOY
リリース: 2023-06-27 20:56:01
オリジナル
1144 人が閲覧しました

PHP 開発で SQL インジェクション攻撃を防ぐ方法

SQL インジェクション攻撃とは、Web アプリケーションで SQL ステートメントを動的に構築し、データベース上でこれらの SQL ステートメントを実行することを指し、攻撃者が悪意のある操作を実行できるようにします。機密データを取得する方法。この攻撃手法に対して、開発者は Web アプリケーションのセキュリティを確保するための保護措置を講じる必要があります。この記事では、PHP開発におけるSQLインジェクション攻撃を防ぐ方法を紹介します。

  1. パラメータ バインディング

PHP では、PDO または mysqli 拡張ライブラリを使用してパラメータ バインドを実装し、SQL ステートメントと入力パラメータを個別に実行できます。この方法により、パラメータに SQL 例外文字やステートメントが含まれることを防ぎ、内部 SQL インジェクション攻撃を回避できます。

PDO を例にとると、コードは次のとおりです。 

//准备SQL语句
$sql = "SELECT name, age, email FROM user WHERE id = :id AND age > :age";
$stmt = $pdo->prepare($sql);
 
//绑定参数
$stmt->bindParam(':id', $id, PDO::PARAM_INT);
$stmt->bindParam(':age', $age, PDO::PARAM_INT);
 
//执行查询语句
$stmt->execute();
ログイン後にコピー
  1. 文字列エスケープ

ユーザー入力データをデータベースに保存する前に、次のことが必要です。エスケープ関数を使用して文字列をエスケープします。 PHP では、mysql_real_escape_string() 関数と mysqli_real_escape_string() 関数でエスケープを実現できます。この方法は低レベルの予防策であり、他のより安全な保護策と組み合わせて使用​​することをお勧めします。

コード例: 

//获取用户输入
$username = $_POST['username'];
$password = $_POST['password'];

//转义字符串
$username = mysql_real_escape_string($username);
$password = mysql_real_escape_string($password);

//准备SQL,然后查询
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
mysql_query($sql);
ログイン後にコピー
  1. 入力チェック

入力チェックとは、入力が正当で期待を満たしていることを確認するために入力パラメータをフィルタリングおよび検証することを指します。そしてフォーマットします。このアプローチにより、潜在的な SQL インジェクションの脆弱性が回避されます。たとえば、クエリのパラメータが数値の場合、is_numeric() 関数を使用して、それが数値であるかどうかを確認できます。クエリのパラメータが文字列の場合、 ctype_alpha() 関数を使用して、文字のみが含まれているかどうかを確認できます。 

//对用户输入进行检查
if (is_numeric($_GET['id'])) {
    $id = $_GET['id'];
    
    //查询数据库
    $sql = "SELECT * FROM users WHERE id = $id";
    mysql_query($sql);
}
ログイン後にコピー
  1. データベース権限制御

Web アプリケーションを開発する場合、特定のアカウントと権限を使用してデータベースに接続できます。アカウントと権限を設定するときは、必要なデータと操作のみが許可されるように慎重に検討する必要があります。たとえば、読み取り専用アカウントは INSERT、UPDATE、DELETE 操作を実行できないため、SQL インジェクション攻撃のリスクが大幅に軽減されます。

概要:

この記事では、PHP 開発における SQL インジェクション攻撃を防ぐ 4 つの方法 (パラメーター バインド、文字列エスケープ、入力チェック、データベース アクセス許可制御など) を紹介します。開発者は、アプリケーションのシナリオと Web アプリケーションのセキュリティを確保する必要性に基づいて、適切な保護手段を選択する必要があります。同時に、PHPのバージョンアップやデータベースソフトウェアの適時更新もSQLインジェクション攻撃を防ぐ有効な手段となります。

以上がPHP開発におけるSQLインジェクション攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
PHPセキュリティプログラミング SQLインジェクションの防止 PHPインジェクション攻撃防御
ソース:php.cn
前の記事:PHPの配列関数array_chunk()の使い方を詳しく解説 次の記事:PHP と React を使用して、データの変更をリアルタイムで表示する動的データ視覚化アプリケーションを開発します。
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
PHP で max_input_vars を変更できない Moodle をインストールするには、php の max_input_vars 値を増やす必要があります。ただし、php.ini ファイルの値を変更すると、moodleWeb イン...
から 2023-11-10 11:49:31
0
1
277
Google が安全性の低いアプリケーションを廃止した今、PHPMailer を使用して GMail アカウントからメールを送信するにはどうすればよいですか? Google は、サードパーティ製アプリからメールを送信するための「安全性の低いアプリ」機能を提供しています。 Google がこの設定を無効にしたため、PHPMailer はメー...
から 2023-11-08 10:40:35
0
1
258
Laravel Breeze をインストールしようとしているときに Laravel Mix エラーが発生しました 新しい Laravel アプリケーションに LaravelBreeze をインストールしようとしています。すべて正常に動作していますが、コンソールで npmrundev と入力する...
から 2023-11-07 23:05:02
0
1
299
Ion Cube の「このバージョンの ionCube Loader はデコードできません」エラーの解決 - WordPress WordPress でプラグインを作成し、IonCube11.0.1 を使用して暗号化しました。Web サイトでこのプラグインを実行した後、次のエラーが発生しました (PHP バー...
から 2023-10-31 12:01:21
0
1
336
ハードハットのコンパイル エラー「HttpNetworkConfig 型の値が必要です」 ここでNFTチュートリアルに従おうとしています。 Alchemy でアカウントをセットアップし、Metamask が .sol ファイルを作成しました。ルートディレクトリに次のよう...
から 2023-10-30 19:02:05
0
1
435
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!