PHP에서 안전하고 신뢰할 수 있는 MySQL 코드를 어떻게 작성할 수 있습니까?

MySQL 코드의 함정 방지: 종합 가이드

MySQL 확장 프로그램은 데이터베이스 상호 작용을 위한 기능을 제공하지만 사용 시에는 일반적인 문제가 발생할 수 있습니다. 함정. 이 종합 가이드의 목표는 MySQL 확장을 사용하여 안전하고 신뢰할 수 있는 코드를 작성하기 위한 참조를 제공하는 것입니다.

핵심 원칙

• SQL 주입 방지: 다음을 사용하여 사용자가 제출한 데이터를 올바르게 이스케이프합니다. mysql_real_escape_string().
• XSS로부터 보호: 악성 스크립트 실행을 방지하려면 데이터를 출력하기 전에 이스케이프하세요.
• 정상적으로 오류 처리: Trigger_error( ) 또는 프로덕션에서 자세한 오류 메시지를 표시하지 않으면서 오류를 보고하고 유용한 정보를 제공하는 데 선호되는 방법 모드.
• 단순성 우선: 불필요한 복잡성을 피하고 핵심 요구 사항을 충족하는 최소한의 코드 작성에 중점을 둡니다.

예제 코드

앞서 언급한 문제를 해결하면서 MySQL 데이터베이스의 레코드를 업데이트하는 다음 예제 코드를 살펴보세요. 문제:

header('Content-type: text/html; charset=utf-8');
error_reporting(E_ALL | E_STRICT);
ini_set('display_errors', 1);

// Connect to the database
$config = array(
    'host' => '127.0.0.1',
    'user' => 'my_user',
    'pass' => 'my_pass',
    'db' => 'my_database'
);

$connection = mysql_connect($config['host'],
    $config['user'], $config['pass']);

if (!$connection) {
    trigger_error('Unable to connect to database: ' . mysql_error(), E_USER_ERROR);
}

if (!mysql_select_db($config['db'])) {
    trigger_error('Unable to select db: ' . mysql_error(), E_USER_ERROR);
}

// Use UTF-8 character set
mysql_set_charset('utf8');

// Fetch user-submitted data
$id = mysql_real_escape_string($_POST['id']);
$name = mysql_real_escape_string($_POST['name']);

// Prepare and execute the update query
$query = 'UPDATE tablename SET name = "' . $name . '" WHERE id = "' . $id . '"';
$result = mysql_query($query);

if ($result) {
    echo htmlentities($name, ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}

추가 고려 사항

• SQL 주입에 대한 더욱 강력한 보호를 위해 준비된 문(예: mysqli_prepare())을 사용하는 것이 좋습니다.
• 사용자 입력을 수락하기 전에 유효성을 검사하고 데이터 유형 및 범위를 적용합니다.
• 보안 취약성에 대한 최신 정보를 얻고 정기적으로 패치를 적용하십시오.

이러한 지침을 준수하고 제공된 예를 활용하면 MySQL 확장 프로그램 사용과 관련된 위험을 효과적으로 완화할 수 있습니다. , PHP 코드에서 강력하고 안전한 데이터베이스 상호 작용을 보장합니다.

위 내용은 PHP에서 안전하고 신뢰할 수 있는 MySQL 코드를 어떻게 작성할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!