수정 없이 SQL 쿼리에 사용자 입력을 직접 삽입하면 애플리케이션이 SQL 주입 공격에 취약해집니다. 이를 방지하려면 SQL에서 데이터를 분리하여 데이터가 데이터로 유지되고 SQL 파서의 명령으로 해석되지 않도록 하는 것이 중요합니다.
가장 효과적인 솔루션
사용 중인 데이터베이스에 관계없이 SQL 주입 공격을 방지하기 위해 권장되는 접근 방식은 준비된 명령문과 매개변수화된 쿼리. 이는 데이터베이스 서버가 매개변수와 함께 독립적으로 구문 분석하는 SQL 문입니다. 이 접근 방식을 사용하면 공격자가 악성 SQL을 삽입하는 것이 불가능합니다.
PDO 또는 MySQLi를 사용한 구현
PDO는 지원되는 모든 데이터베이스 드라이버에 대한 범용 솔루션을 제공하는 반면, MySQLi는 특정 드라이버에 국한됩니다. MySQL로.
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);
foreach ($stmt as $row) {
// Do something with $row
}$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
// Do something with $row
}$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies string type
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// Do something with $row
}올바른 연결 설정
MySQL용 PDO를 사용할 때는 에뮬레이션을 비활성화하여 실제 준비된 명령문이 사용되는지 확인하세요.
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);MySQLi의 경우 다음을 사용하세요.
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // error reporting
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // charset설명
준비된 문장을 파싱합니다. 그리고 데이터베이스 서버에 의해 컴파일되어 SQL 문을 매개변수와 분리합니다. 매개변수가 전달되면 컴파일된 문과 문자열로 결합되어 SQL 삽입 위험이 제거됩니다.
동적 쿼리
준비된 문은 다음 용도로 사용할 수 있습니다. 동적 쿼리의 매개변수에서는 동적 쿼리 구조 자체를 매개변수화할 수 없습니다. 이러한 경우에는 화이트리스트 필터를 사용하는 것이 좋습니다.
위 내용은 PHP 애플리케이션에서 SQL 주입을 효과적으로 방지하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
