PDO 준비 문은 항상 SQL 주입을 방지합니까?

PDO 준비 문은 SQL 주입을 방지하기에 충분합니까?

PDO(PHP 데이터 개체) 준비 문은 SQL로부터 보호하는 강력한 도구입니다. 주입. 그러나 이 취약점으로부터 실제로 보호하려면 한계를 이해하는 것이 중요합니다.

에뮬레이트된 준비 문제:

기본적으로 PDO는 MySQL용 준비된 명령문을 에뮬레이트합니다. 그러나 이 에뮬레이션에는 숙련된 공격자가 악용할 수 있는 보안 결함이 있습니다. 이 공격 시나리오에서는 다음과 같습니다.

1. 서버의 문자 집합은 이스케이프된 '(백슬래시)로 인코딩된 멀티바이트 문자를 지원하는 문자 집합으로 설정됩니다.
2. 다음의 조합을 포함하는 페이로드가 제작됩니다. 잘못된 멀티바이트 문자.
3. PDO는 내부적으로 MySQL C API 함수 mysql_real_escape_string()을 호출하여 페이로드를 이스케이프합니다. 이는 연결 문자 집합에 따라 수행됩니다.
4. 페이로드의 유효하지 않은 멀티바이트 문자는 유효한 단일 바이트로 처리되어 이스케이프되지 않은 ' 문자가 생성됩니다.
5. 이 이스케이프된 ' 문자를 사용할 수 있습니다. SQL 주입 공격을 제작합니다.

공격:

이 공격을 방지하려면 PDO 속성 PDO::ATTR_EMULATE_PREPARES를 false로 설정하여 에뮬레이트된 준비된 문을 비활성화할 수 있습니다. 이렇게 하면 PDO가 더 안전한 실제 준비된 명령문을 사용하게 됩니다.

또한 다음을 통해 공격을 완화할 수 있습니다.

• 다음과 같이 연결 인코딩에 취약하지 않은 문자 집합을 사용합니다. UTF-8.
• NO_BACKSLASH_ESCAPES SQL 활성화 mode.

안전한 예:

다음 예는 PDO 준비된 문의 안전한 사용을 보여줍니다.

// Disable emulated prepares and use non-vulnerable character set
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

// Use DSN charset parameter in PHP ≥ 5.3.6
$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$query = 'SELECT * FROM users WHERE username = ?';
$stmt = $dbh->prepare($query);
$stmt->execute( array(':username' => $_REQUEST['username']) );

In 결론적으로 PDO 준비를 사용하는 것은 일반적으로 SQL 주입을 방지하는 데 충분하지만 잠재적인 취약점을 인식하고 완화하는 것이 중요합니다. 에뮬레이트된 준비된 문의 제한 사항을 이해하고 호환 가능한 구성을 보장함으로써 악의적인 주입으로부터 애플리케이션을 효과적으로 보호할 수 있습니다.

위 내용은 PDO 준비 문은 항상 SQL 주입을 방지합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!