> 백엔드 개발 > PHP 튜토리얼 > PHP는 내장된 함수 분석으로 SQL 주입을 방지합니다.

PHP는 내장된 함수 분석으로 SQL 주입을 방지합니다.

WBOY
풀어 주다: 2016-07-29 09:14:59
원래의
983명이 탐색했습니다.

SQL인젝션 공격은 해커가 웹사이트를 공격하기 위해 사용하는 가장 일반적인 방법입니다. 귀하의 사이트가 엄격한 사용자 입력 유효성 검사를 사용하지 않으면 SQL인젝션 공격에 취약한 경우가 많습니다. SQL 주입 공격은 일반적으로 사이트 데이터베이스에 잘못된 데이터나 쿼리 문을 제출하는 방식으로 구현되며, 이로 인해 데이터베이스의 기록이 노출, 변경 또는 삭제될 수 있습니다.

SQL인젝션 공격을 방지하기 위해 PHP에는 입력 문자열을 처리하고 하위 수준에서 입력에 대한 사전 보안 처리를 수행할 수 있는 기능, 즉 Magic Quotes가 제공됩니다. (php.ini Magic_quotes_gpc). Magic_quotes_gpc 옵션이 활성화된 경우 입력 문자열의 작은따옴표, 큰따옴표 및 기타 문자 앞에 자동으로 백슬래시 /가 붙습니다.

그러나 Magic Quotes는 매우 보편적인 솔루션이 아니며 잠재적으로 위험한 모든 캐릭터를 차단하지 않으며 Magic Quotes가 많은 서버에서 활성화되지 않습니다. 따라서 SQL 인젝션을 방지하기 위해서는 이 외에도 다양한 방법을 활용해야 합니다.

많은 데이터베이스가 이러한 입력 데이터 처리 기능을 기본적으로 제공합니다. 예를 들어, PHP의 MySQL 작업 함수에는 addlashes(), mysql_real_escape_string(), mysql_escape_string() 및 특수 문자 및 데이터베이스 작업 오류를 일으킬 수 있는 문자를 이스케이프할 수 있는 기타 함수가 포함됩니다. 그렇다면 이 세 가지 기능적 기능의 차이점은 무엇입니까? 아래에서 자세히 이야기해 보겠습니다.

국내 PHP 프로그래머는 여전히 SQL 인젝션을 방지하기 위해 추가 래시에 의존하고 있지만, SQL 인젝션을 방지하려면 모두 중국어 검사를 강화하는 것이 좋습니다. . addlashes의 문제점은 해커가 작은따옴표 대신 0xbf27을 사용할 수 있는 반면, addlashes는 0xbf27을 0xbf5c27로만 변경하므로 유효한 멀티바이트 문자가 됩니다. 0xbf5c는 여전히 작은따옴표로 간주되므로 addlashes가 성공적으로 가로챌 수 없습니다.

물론, addlashes는 쓸모가 없습니다. 단일 바이트 문자열을 처리하는 데 사용됩니다. 다중 바이트 문자의 경우 mysql_real_escape_string을 사용하십시오.
또한 PHP 매뉴얼의 get_magic_quotes_gpc 예는 다음과 같습니다.

<code><span>if</span> (!get_magic_quotes_gpc()) {
    <span>$lastname</span> = addslashes(<span>$_POST</span>[‘lastname’]);
} <span>else</span> {
    <span>$lastname</span> = <span>$_POST</span>[‘lastname’];
}</code>
로그인 후 복사

magic_quotes_gpc가 이미 열려 있으면 $_POST['lastname']을 확인하는 것이 가장 좋습니다.

mysql_real_escape_string과 mysql_escape_string 두 함수의 차이점에 대해 이야기해 보겠습니다.
mysql_real_escape_string은 (PHP 4 >= 4.3.0, PHP 5)에서만 사용할 수 있습니다. 그렇지 않으면 mysql_escape_string만 사용할 수 있습니다. 둘 사이의 차이점은 mysql_real_escape_string은 연결의 현재 문자 집합을 고려하지만 mysql_escape_string은 고려하지 않는다는 것입니다.

요약하자면:

  • addslashes()는 강제로 /를 추가합니다.
  • mysql_real_escape_string()은 문자 집합을 결정하지만 PHP 버전에 대한 요구 사항이 있습니다.
  • mysql_escape_string은 연결의 현재 문자 집합을 고려하지 않습니다.

dz에서 sql 주입을 방지하려면 addlashes 함수를 사용하는 동시에 dthmlspecialchars 함수 $string = preg_replace('/&((# (/ d{3,5}|x[a-fA-F0-9]{4}));)/', '&//1', 이 대체는 삽입 문제를 해결하고 일부 중국어 문자 왜곡도 해결합니다. .

위 내용을 포함해 SQL 인젝션을 방지하기 위한 PHP 자체 기능에 대한 분석을 소개하고 있는데, PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되었으면 좋겠습니다.

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿