SQL 주입 및 기타 함정을 피하기 위해 PHP에서 MySQL 확장을 안전하게 사용하려면 어떻게 해야 합니까?-MySQL 튜토리얼-php.cn

집

데이터 베이스

MySQL 튜토리얼

SQL 주입 및 기타 함정을 피하기 위해 PHP에서 MySQL 확장을 안전하게 사용하려면 어떻게 해야 합니까?

Dec 12, 2024 pm 01:27 PM

How Can I Securely Use the MySQL Extension in PHP to Avoid SQL Injection and Other Pitfalls?

MySQL 확장을 사용한 안전한 MySQL 쿼리

소개

PDO의 보편화에도 불구하고, mysql_* 함수 계열은 여전히 PHP 데이터베이스 상호 작용을 위한 일반적인 선택입니다. 이 라이브러리는 올바르게 사용하면 완벽하게 안전하지만 사용하면 보안 및 기술 문제가 발생하는 경우가 많습니다. 이 기사에서는 MySQL 확장을 안전하게 사용하는 방법을 보여주는 완벽한 코드 샘플을 제공합니다.

일반적인 함정 방지

mysql_* 함수는 다음을 포함한 몇 가지 일반적인 문제로 악명이 높습니다. :

SQL 주입
오류 처리 문제
교차 사이트 스크립팅(XSS) 삽입

샘플 코드

다음 코드 샘플은 위의 문제를 완화하면서 POST 변수를 기반으로 하는 데이터베이스 테이블 행 위험:

&lt;?php

header('Content-type: text/html; charset=utf-8');
error_reporting(E_ALL | E_STRICT);
ini_set('display_errors', 1);

$config = array(
    'host' =&gt; '127.0.0.1',
    'user' =&gt; 'my_user',
    'pass' =&gt; 'my_pass',
    'db' =&gt; 'my_database'
);

$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);

if (!$connection) {
    trigger_error('Unable to connect to database: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_select_db($config['db'])) {
    trigger_error('Unable to select db: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_set_charset('utf8')) {
    trigger_error('Unable to set charset for db connection: ' . mysql_error(), E_USER_ERROR);
}

$result = mysql_query(
    'UPDATE tablename SET name = "' . mysql_real_escape_string($_POST['name']) . '" WHERE id = "' . mysql_real_escape_string($_POST['id']) . '"'
);

if ($result) {
    echo htmlentities($_POST['name'], ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}
?&gt;

로그인 후 복사

주요 기능

오류 처리: 오류는 Trigger_error()로 캡처 및 보고되어 자세한 오류를 억제합니다. 프로덕션 모드의 메시지.
SQL 주입 방지: POST 값은 SQL 주입 공격을 방지하기 위해 mysql_real_escape_string()을 사용하여 이스케이프됩니다.
유니코드 지원: 데이터베이스 연결은 유니코드를 지원하도록 구성됩니다.
프로덕션 모드: 프로덕션에서 display_errors를 0으로 설정하면 오류 메시지를 억제할 수 있습니다. mode.

결론

이 코드 샘플은 mysql_* 함수 계열을 사용하여 안전한 MySQL 쿼리를 위한 견고한 기반을 제공합니다. 적절한 오류 처리를 구현하고, SQL 삽입을 방지하고, 유니코드를 지원하여 일반적인 함정을 해결합니다. 이러한 방식을 채택함으로써 개발자는 안전하고 안정적인 데이터베이스 기반 애플리케이션을 작성할 수 있습니다.

위 내용은 SQL 주입 및 기타 함정을 피하기 위해 PHP에서 MySQL 확장을 안전하게 사용하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.