PHP의 매개변수화된 쿼리는 SQL 주입으로부터 어떻게 보호합니까?

Mary-Kate Olsen
풀어 주다: 2024-10-28 06:00:03
원래의
955명이 탐색했습니다.

How do Parameterized Queries in PHP Protect Against SQL Injection?

MySQL 연결을 사용하는 PHP의 매개변수화된 쿼리

웹 개발 영역에서 SQL 주입은 심각한 보안 위협을 초래합니다. 공격자는 악의적인 쿼리를 조작하여 인증 메커니즘을 우회하고 민감한 데이터에 액세스할 수 있습니다. 매개변수화된 쿼리는 이 취약점에 대한 완벽한 솔루션을 제공합니다.

SQL 주입에 대한 보호 기능이 부족한 PHP 로그인 페이지의 코드 조각을 고려해 보겠습니다.

<code class="php">$userName = $_POST["username"];
$userPass = $_POST["password"];

$query = "SELECT * FROM users WHERE username = '$userName' AND password = '$userPass'";

$result = mysqli_query($dbc, $query);
$row = mysqli_fetch_array($result);

if (!$row) {
    echo "No existing user or wrong password.";
}</code>
로그인 후 복사

매개변수화된 쿼리를 사용하려면, 데이터베이스에 대한 연결을 설정하고 매개변수화된 명령문을 준비해야 합니다. 다음 코드는 수정된 예를 제공합니다.

<code class="php">$stmt = mysqli_prepare($dbc, "SELECT * FROM users WHERE username = ? AND password = ?");
mysqli_stmt_bind_param($stmt, "s", $userName);
mysqli_stmt_bind_param($stmt, "s", $userPass);
mysqli_stmt_execute($stmt);
$row = mysqli_stmt_fetch($stmt);</code>
로그인 후 복사

코드 분석은 다음과 같습니다.

  • mysqli_prepare()는 매개변수를 나타내는 자리 표시자(?)가 있는 매개변수화된 명령문을 준비합니다.
  • mysqli_stmt_bind_param()은 값을 자리 표시자 매개변수에 바인딩합니다.
  • mysqli_stmt_execute()는 매개변수화된 문을 실행합니다.
  • mysqli_stmt_fetch()는 결과 행을 검색합니다.

이 매개변수화된 쿼리에서 자리 표시자는 바인딩된 값으로 대체되므로 악의적인 입력이 삽입되는 것을 방지합니다. 또한 보안 강화를 위해 일반 텍스트 비밀번호 저장을 피하고 비밀번호를 암호화하거나 해시하는 것이 필수적입니다. 매개변수화된 쿼리를 채택함으로써 PHP 개발자는 SQL 주입 공격으로부터 웹 애플리케이션을 효과적으로 보호할 수 있습니다.

위 내용은 PHP의 매개변수화된 쿼리는 SQL 주입으로부터 어떻게 보호합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿