SQL 주입 공격으로부터 PHP 애플리케이션 보호

SQL 주입 공격을 차단하는 것은 PHP 애플리케이션의 보안을 유지하는 데 중요합니다. SQL 주입은 공격자가 데이터베이스에서 임의의 SQL 코드를 실행하여 잠재적으로 데이터 침해 또는 손실을 초래할 수 있는 취약점입니다. 다음은 실제 예제와 설명이 포함된 PHP의 SQL 주입 공격을 방지하기 위한 단계별 가이드입니다.

1. SQL 인젝션 이해

SQL 삽입은 사용자 입력이 부적절하게 삭제되어 SQL 쿼리에 통합될 때 발생합니다. 예를 들어, 사용자가 악성 SQL 코드를 입력하면 쿼리를 조작하여 의도하지 않은 작업을 수행할 수 있습니다.

SQL 인젝션 예:

// Vulnerable Code
$user_id = $_GET['user_id'];
$query = "SELECT * FROM users WHERE id = $user_id";
$result = mysqli_query($conn, $query);

user_id가 1 또는 1=1로 설정된 경우 쿼리는 다음과 같습니다.

SELECT * FROM users WHERE id = 1 OR 1=1

1=1은 항상 true이기 때문에 이 쿼리는 사용자 테이블의 모든 행을 반환합니다.

2. 준비된 진술 사용

준비된 명령문은 SQL 삽입에 대한 핵심 방어 수단입니다. SQL 로직을 데이터에서 분리하고 사용자 입력이 실행 가능한 코드가 아닌 데이터로 처리되도록 합니다.

준비된 명령문과 함께 MySQLi 사용:

1. 데이터베이스에 연결:

   $conn = new mysqli("localhost", "username", "password", "database");

   if ($conn->connect_error) {
       die("Connection failed: " . $conn->connect_error);
   }

1. SQL 문 준비:

   $stmt = $conn->prepare("SELECT * FROM users WHERE id = ?");

1. 바인딩 매개변수:

   $stmt->bind_param("i", $user_id); // "i" indicates the type is integer

1. 성명 실행:

   $user_id = $_GET['user_id'];
   $stmt->execute();

1. 결과 가져오기:

   $result = $stmt->get_result();
   while ($row = $result->fetch_assoc()) {
       // Process results
   }

1. 문 및 연결 닫기:

   $stmt->close();
   $conn->close();

전체 예:

<?php
// Database connection
$conn = new mysqli("localhost", "username", "password", "database");

if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// Prepare statement
$stmt = $conn->prepare("SELECT * FROM users WHERE id = ?");
if ($stmt === false) {
    die("Prepare failed: " . $conn->error);
}

// Bind parameters
$user_id = $_GET['user_id'];
$stmt->bind_param("i", $user_id);

// Execute statement
$stmt->execute();

// Get results
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    echo "User ID: " . $row['id'] . "<br>";
    echo "User Name: " . $row['name'] . "<br>";
}

// Close statement and connection
$stmt->close();
$conn->close();
?>

3. 준비된 진술과 함께 PDO 사용

PDO(PHP 데이터 개체)는 SQL 삽입에 대한 유사한 보호 기능을 제공하고 여러 데이터베이스 시스템을 지원합니다.

준비된 명령문과 함께 PDO 사용:

1. 데이터베이스에 연결:

   try {
       $pdo = new PDO("mysql:host=localhost;dbname=database", "username", "password");
       $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   } catch (PDOException $e) {
       die("Connection failed: " . $e->getMessage());
   }

1. SQL 문 준비:

   $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");

1. 매개변수 바인딩 및 실행:

   $stmt->bindParam(':id', $user_id, PDO::PARAM_INT);
   $user_id = $_GET['user_id'];
   $stmt->execute();

1. 결과 가져오기:

   $results = $stmt->fetchAll(PDO::FETCH_ASSOC);
   foreach ($results as $row) {
       echo "User ID: " . $row['id'] . "<br>";
       echo "User Name: " . $row['name'] . "<br>";
   }

전체 예:

setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // Prepare statement
    $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");

    // Bind parameters
    $user_id = $_GET['user_id'];
    $stmt->bindParam(':id', $user_id, PDO::PARAM_INT);

    // Execute statement
    $stmt->execute();

    // Fetch results
    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);
    foreach ($results as $row) {
        echo "User ID: " . $row['id'] . "
";
        echo "User Name: " . $row['name'] . "
";
    }

} catch (PDOException $e) {
    die("Error: " . $e->getMessage());
}
?>

4. 추가 보안 관행

• 입력 삭제: 항상 사용자 입력을 삭제하고 검증하여 예상 형식인지 확인하세요.
• ORM 사용: Eloquent(Laravel)와 같은 객체 관계형 매퍼는 내부적으로 SQL 주입 방지를 처리합니다.
• 데이터베이스 권한 제한: 데이터베이스 사용자 계정에 대해 최소 권한 원칙을 사용합니다.

5. 결론

SQL 주입 공격을 차단하는 것은 PHP 애플리케이션 보안에 매우 중요합니다. MySQLi 또는 PDO와 함께 준비된 문을 사용하면 사용자 입력이 안전하게 처리되고 SQL 쿼리의 일부로 실행되지 않도록 할 수 있습니다. 이러한 모범 사례를 따르면 가장 일반적인 웹 취약점 중 하나로부터 애플리케이션을 보호하는 데 도움이 됩니다.

위 내용은 SQL 주입 공격으로부터 PHP 애플리케이션 보호의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!