SQL 주입을 방지하기 위해 준비된 명령문이 매개변수화된 테이블 이름을 처리할 수 있습니까?

준비된 문: 매개변수화된 테이블 이름을 처리할 수 있나요?

이 문서에서는 SQL 삽입 취약점을 방지하기 위해 준비된 문이 매개변수화된 테이블 이름을 효과적으로 처리할 수 있는지 여부에 대한 중요한 질문을 다룹니다.

문제:

테이블 이름을 포함하여 사용자 제공 데이터를 SQL 쿼리에 직접 포함하는 것은 주요 보안 위험입니다. 다음 예를 고려해보세요:

<code class="language-php">function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO " .$new_table . " VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'sssisss', $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}</code>

연결 .$new_table.은 $new_table이 제대로 정리되지 않은 경우 이 함수를 SQL 주입에 취약하게 만듭니다.

매개변수화 시도 중:

이 문제를 완화하기 위한 일반적인 시도는 테이블 이름을 매개변수화하는 것입니다.

<code class="language-php">function insertRow( $db, $mysqli, $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol )
{
    $statement = $mysqli->prepare("INSERT INTO (?) VALUES (?,?,?,?,?,?,?);");
    mysqli_stmt_bind_param( $statment, 'ssssisss', $new_table, $Partner, $Merchant, $ips, $score, $category, $overall, $protocol );
    $statement->execute();
}</code>

현실:

안타깝게도 이 접근 방식은 실패합니다. 준비된 문은 SQL 쿼리 자체의 구조 변경을 방지하는 것이 아니라 런타임 값 삽입을 방지하도록 설계되었습니다. 데이터베이스 파서는 테이블 이름을 런타임 매개변수가 아닌 쿼리 구조의 일부로 해석합니다. 이를 자리 표시자로 바꾸면 잘못된 SQL이 발생합니다.

PDO와 같이 준비된 명령문 에뮬레이션을 제공하는 시스템에서도 결과는 잘못된 쿼리가 됩니다(예: SELECT * FROM 'mytable' 대신 SELECT * FROM mytable).

해결책:

사용자가 제공한 테이블 이름을 처리할 때 SQL 주입을 방지하는 신뢰할 수 있는 유일한 방법은 엄격한 화이트리스트를 사용하는 것입니다. 여기에는 허용되는 테이블 이름 목록을 사전 정의하고 사용자가 제공한 테이블 이름이 쿼리에 사용되기 전에 이 화이트리스트와 대조되는지 확인하는 작업이 포함됩니다. 테이블 이름과 관련된 SQL 쿼리를 생성하기 위해 사용자 입력을 직접 사용하지 마십시오.

위 내용은 SQL 주입을 방지하기 위해 준비된 명령문이 매개변수화된 테이블 이름을 처리할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!