준비된 명령문과 매개 변수화 된 쿼리는 PHP에서 SQL 주입을 어떻게 막을 수 있습니까?-MySQL 튜토리얼-php.cn

집

데이터 베이스

MySQL 튜토리얼

준비된 명령문과 매개 변수화 된 쿼리는 PHP에서 SQL 주입을 어떻게 막을 수 있습니까?

Patricia Arquette

Jan 25, 2025 pm 10:07 PM

How Can Prepared Statements and Parameterized Queries Prevent SQL Injection in PHP?

PHP에서 SQL 주입 방지

SQL 주입 취약점은 사용자 입력이 제대로 처리되지 않고 SQL 쿼리에 삽입되는 경우 발생합니다. 이 위험을 이해하려면 다음 예를 고려하십시오.

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

로그인 후 복사

이 시나리오에서 사용자가 value'); DROP TABLE table;--과 같은 값을 악의적으로 입력하면 쿼리는 다음과 같습니다.

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

로그인 후 복사

이렇게 하면 데이터베이스에 대한 악의적인 공격의 문이 열립니다.

완화 기술:

어떤 데이터베이스를 사용하든 관계없이 SQL 삽입을 방지하기 위해 권장되는 보안 방법은 SQL에서 데이터를 분리하는 것입니다. 이는 데이터가 데이터로 처리되고 SQL 파서에 의해 명령으로 해석되지 않도록 보장하는 것을 의미합니다. 이 목표를 달성하는 가장 효율적인 방법은 준비된 문과 매개 변수화된 쿼리를 사용하는 것입니다.

준비된 문 및 매개변수화된 쿼리:

준비된 명령문에는 SQL 쿼리와 매개변수를 별도로 데이터베이스 서버에 전송하여 데이터베이스가 이들 조합을 처리할 수 있도록 하는 작업이 포함됩니다. 이는 전송 전에 데이터가 PHP에 의해 구문 분석되지 않도록 하여 악의적인 SQL 주입 시도를 방지합니다.

구현 옵션:

Prepared 문을 구현하는 두 가지 주요 방법은 다음과 같습니다.

PDO(PHP 데이터 개체):

이것은 지원되는 모든 데이터베이스 드라이버에서 작동하는 일반적인 방법입니다. 사용 예는 다음과 같습니다.
```
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute([ 'name' => $name ]);

foreach ($stmt as $row) {
    // 处理行
}
```
로그인 후 복사

MySQLi(MySQL 개선 확장):

MySQL 데이터베이스의 경우 MySQLi를 사용할 수 있습니다. PHP 8.2부터 execute_query() 메서드를 사용하여 단일 단계로 매개변수를 준비하고, 매개변수를 바인딩하고, SQL 문을 실행할 수 있습니다.

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 处理行
}

로그인 후 복사

PHP 8.1 이하:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 表示'字符串'变量类型
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理行
}

로그인 후 복사

MySQL 이외의 데이터베이스를 사용하는 경우 PostgreSQL의 pg_prepare() 및 pg_execute()과 같은 드라이버별 대안이 있습니다.

올바른 연결 설정:

연결을 설정할 때 성능과 보안을 향상하려면 준비된 명령문의 에뮬레이션을 비활성화하는 것이 중요합니다.

PDO 연결:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

로그인 후 복사

MySQLi 연결:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 错误报告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 字符集

로그인 후 복사

결론:

준비된 명령문을 구현하고 연결을 올바르게 설정하면 SQL 주입 공격을 효과적으로 방지하고 데이터베이스 애플리케이션의 보안과 무결성을 보장할 수 있습니다.

위 내용은 준비된 명령문과 매개 변수화 된 쿼리는 PHP에서 SQL 주입을 어떻게 막을 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

뜨거운 도구

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7543

Cakephp 튜토리얼

1381

Steam의 계정 이름 형식은 무엇입니까?

Win11 활성화 키 영구

NYT 연결 힌트와 답변

Related knowledge

InnoDB 전체 텍스트 검색 기능을 설명하십시오. Apr 02, 2025 pm 06:09 PM

InnoDB의 전체 텍스트 검색 기능은 매우 강력하여 데이터베이스 쿼리 효율성과 대량의 텍스트 데이터를 처리 할 수있는 능력을 크게 향상시킬 수 있습니다. 1) InnoDB는 기본 및 고급 검색 쿼리를 지원하는 역 색인화를 통해 전체 텍스트 검색을 구현합니다. 2) 매치 및 키워드를 사용하여 검색, 부울 모드 및 문구 검색을 지원합니다. 3) 최적화 방법에는 워드 세분화 기술 사용, 인덱스의 주기적 재건 및 캐시 크기 조정, 성능과 정확도를 향상시키는 것이 포함됩니다.

Alter Table 문을 사용하여 MySQL에서 테이블을 어떻게 변경합니까? Mar 19, 2025 pm 03:51 PM

이 기사는 MySQL의 Alter Table 문을 사용하여 열 추가/드롭 테이블/열 변경 및 열 데이터 유형 변경을 포함하여 테이블을 수정하는 것에 대해 설명합니다.

MySQL에서 인덱스를 사용하는 것보다 전체 테이블 스캔이 더 빠를 수 있습니까? Apr 09, 2025 am 12:05 AM

전체 테이블 스캔은 MySQL에서 인덱스를 사용하는 것보다 빠를 수 있습니다. 특정 사례는 다음과 같습니다. 1) 데이터 볼륨은 작습니다. 2) 쿼리가 많은 양의 데이터를 반환 할 때; 3) 인덱스 열이 매우 선택적이지 않은 경우; 4) 복잡한 쿼리시. 쿼리 계획을 분석하고 인덱스 최적화, 과도한 인덱스를 피하고 정기적으로 테이블을 유지 관리하면 실제 응용 프로그램에서 최상의 선택을 할 수 있습니다.

Windows 7에 MySQL을 설치할 수 있습니까? Apr 08, 2025 pm 03:21 PM

예, MySQL은 Windows 7에 설치 될 수 있으며 Microsoft는 Windows 7 지원을 중단했지만 MySQL은 여전히 호환됩니다. 그러나 설치 프로세스 중에 다음 지점이 표시되어야합니다. Windows 용 MySQL 설치 프로그램을 다운로드하십시오. MySQL의 적절한 버전 (커뮤니티 또는 기업)을 선택하십시오. 설치 프로세스 중에 적절한 설치 디렉토리 및 문자를 선택하십시오. 루트 사용자 비밀번호를 설정하고 올바르게 유지하십시오. 테스트를 위해 데이터베이스에 연결하십시오. Windows 7의 호환성 및 보안 문제에 주목하고 지원되는 운영 체제로 업그레이드하는 것이 좋습니다.

MySQL 연결에 대한 SSL/TLS 암호화를 어떻게 구성합니까? Mar 18, 2025 pm 12:01 PM

기사는 인증서 생성 및 확인을 포함하여 MySQL에 대한 SSL/TLS 암호화 구성에 대해 설명합니다. 주요 문제는 자체 서명 인증서의 보안 영향을 사용하는 것입니다. [문자 수 : 159]

인기있는 MySQL GUI 도구는 무엇입니까 (예 : MySQL Workbench, Phpmyadmin)? Mar 21, 2025 pm 06:28 PM

기사는 MySQL Workbench 및 Phpmyadmin과 같은 인기있는 MySQL GUI 도구에 대해 논의하여 초보자 및 고급 사용자를위한 기능과 적합성을 비교합니다. [159 자].

InnoDB에서 클러스터 된 인덱스와 비 클러스터 된 인덱스 (2 차 지수)의 차이. Apr 02, 2025 pm 06:25 PM

클러스터 인덱스와 비 클러스터 인덱스의 차이점은 1. 클러스터 된 인덱스는 인덱스 구조에 데이터 행을 저장하며, 이는 기본 키 및 범위별로 쿼리에 적합합니다. 2. 클러스터되지 않은 인덱스는 인덱스 키 값과 포인터를 데이터 행으로 저장하며 비 예산 키 열 쿼리에 적합합니다.