简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PDO 前処理を使用して SQL インジェクション攻撃を防ぐ方法

WBOY
リリース: 2023-07-29 07:16:01
オリジナル
1556 人が閲覧しました

PDO 前処理を使用して SQL インジェクション攻撃を防ぐ方法

はじめに:
Web 開発のプロセスでは、データベースと対話する必要がよくあります。ただし、誤ったデータベース クエリ操作は重大なセキュリティ リスクにつながる可能性があり、最も広く悪用されている攻撃手法の 1 つは SQL インジェクション攻撃です。 SQL インジェクション攻撃を防ぐために、PDO には前処理機構が用意されていますが、この記事では PDO 前処理の正しい使い方を紹介します。

SQL インジェクション攻撃とは:
SQL インジェクションは、データベースに対する攻撃手法です。攻撃者はユーザー入力に悪意のあるコードを挿入して、データベースに未検証のクエリ ステートメントを実行させ、データベースを取得または変更します。データ。たとえば、一般的なログイン機能がユーザー入力を正しく処理しない場合、攻撃者は悪意のある SQL ステートメントの文字列を入力することでログイン検証をバイパスし、データベースに直接アクセスする可能性があります。

PDO 前処理を使用して SQL インジェクション攻撃を防ぐ原則:
PDO (PHP Data Object) は、PHP が提供するデータベース アクセス抽象化レイヤーであり、前処理メカニズムを使用して SQL インジェクション攻撃を効果的に防ぎます。前処理とは、クエリを 2 つのステップで実行することを指します。まず、クエリのプレースホルダ (例: ?) のパラメータを設定し、次にクエリを実行します。このメカニズムにより、ユーザー入力が SQL ステートメントの一部として直接実行されなくなり、SQL インジェクション攻撃が回避されます。

PDO 前処理を使用して SQL インジェクション攻撃を防止する方法:
次に、PDO 前処理を使用して SQL インジェクション攻撃を防止する方法を、実際の例を通じて示します。

まず、データベースへの接続を確立し、データベースの関連構成を設定する必要があります。次に、MySQL データベースを使用した例を示します。 

$servername = "localhost";
$username = "root";
$password = "password";
$dbname = "myDB";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Connected successfully";
} catch(PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
}
ログイン後にコピー

次に、ログイン関数を例として、PDO 前処理を使用して SQL インジェクション攻撃を防ぐ方法を紹介します。 

// 获取用户输入的用户名和密码
$username = $_POST['username'];
$password = $_POST['password'];

try {
    // 使用预处理查询用户信息
    $stmt = $conn->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':password', $password);

    // 执行查询
    $stmt->execute();

    // 获取查询结果
    $result = $stmt->fetch(PDO::FETCH_ASSOC);

    // 验证用户名和密码是否匹配
    if ($result) {
        echo "登录成功";
    } else {
        echo "用户名或密码错误";
    }
} catch(PDOException $e) {
    echo "查询失败: " . $e->getMessage();
}
ログイン後にコピー

上記のコードでは、PDO の prepare メソッドを使用して準備されたステートメントを作成し、bindParam メソッドを使用してパラメーターをバインドします。このように、ユーザーが入力した値は、SQL クエリの一部として直接ではなく、パラメーターとして扱われます。最後に、execute メソッドを使用してクエリを実行し、fetch メソッドを使用してクエリの結果を取得します。

概要:
PDO 前処理メカニズムの使用は、SQL インジェクション攻撃を防ぐ効果的な方法です。ユーザーが入力した値を SQL クエリに直接接続するのではなく、パラメーターとして使用することで、悪意のあるコードの挿入を回避できます。データベース クエリ コードを作成するときは、アプリケーションのセキュリティを確保するために必ず PDO 前処理を使用してください。

以上がPDO 前処理を使用して SQL インジェクション攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
SQLインジェクション攻撃 SQLインジェクションを防ぐ PDO 前処理
ソース:php.cn
前の記事:PHP と SOAP: 多言語と国際化のサポートを処理する方法 次の記事:Slim フレームワークでセッションを使用してユーザーのログインとログアウトを実装する方法
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
function_exists() はカスタム関数を決定できません Function test () {return true;} if (function_exists ('test')) {echo "テストは関数です";
から 2024-04-29 11:01:01
0
2
1801
Google Chromeのモバイル版を表示する方法 こんにちは、先生、Google Chrome をモバイル版に変更するにはどうすればよいですか?
から 2024-04-23 00:22:19
0
10
1939
子ウィンドウは親ウィンドウを操作しますが、出力は応答しません。 最初の 2 つの文は実行可能ですが、最後の文は実装できません。
から 2024-04-19 15:37:47
0
1
1652
親ウィンドウには出力がありません document.onclick = function(){ window.opener.document.write('私は子ウィンドウの出力です');
から 2024-04-18 23:52:34
0
1
1554
CSS マインド マッピングに関するコースウェアはどこにありますか? コースウェア
から 2024-04-16 10:10:18
0
0
1587
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!