지역 사회
배우다
도구 라이브러리
AI 도구
여가
찾다
한국어
데이터 베이스 MySQL 튜토리얼 MySQL 및 SQL 주입 및 주입 방지 방법

MySQL 및 SQL 주입 및 주입 방지 방법

巴扎黑
巴扎黑
Mar 19, 2017 pm 04:12 PM

소위 SQL 주입은 웹 양식 제출에 SQL 명령을 삽입하거나 페이지 요청에 대한 도메인 이름이나 쿼리 문자열을 입력하여 궁극적으로 서버를 속여 악성 SQL 명령을 실행하는 것입니다.

우리는 사용자 입력을 절대 믿어서는 안 됩니다. 우리는 사용자가 입력한 데이터가 안전하지 않다고 판단해야 합니다.

1. 다음 예시에서 입력하는 사용자 이름은 문자, 숫자, 밑줄의 조합이어야 하며, 사용자 이름 길이는 8~20자여야 합니다: 

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
 $result = mysql_query("SELECT * FROM users 
       WHERE username=$matches[0]");
}
 else
{
 echo "username 输入异常";
}
로그인 후 복사

특수 문자가 필터링되지 않은 경우 발생하는 SQL 상황을 살펴보겠습니다: 

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");
로그인 후 복사

위의 주입 문에서는 $name 변수를 필터링하지 않았습니다. $name에 불필요한 SQL 문이 삽입되어 사용자 테이블의 모든 데이터가 삭제됩니다.

2. PHP의 Mysql_query()는 다중 SQL 문 실행을 허용하지 않지만, SQLite 및 PostgreSQL에서는 동시에 여러 SQL 문 실행이 가능하므로 이러한 사용자의 데이터를 엄격하게 검증해야 합니다.

SQL 주입을 방지하려면 다음 사항에 주의해야 합니다.

1. 사용자 입력을 절대 신뢰하지 마십시오. 사용자의 입력을 확인하려면 정규식을 사용하거나 작은따옴표와 큰따옴표 등을 변환하여 길이를 제한할 수 있습니다.
2. SQL의 동적 어셈블리를 사용하지 마십시오. 매개변수화된 SQL을 사용하거나 데이터 쿼리 및 액세스를 위해 저장 프로시저를 직접 사용할 수 있습니다.
3. 관리자 권한으로 데이터베이스 연결을 사용하지 마십시오. 각 응용 프로그램에 대해 제한된 권한을 가진 별도의 데이터베이스 연결을 사용하십시오.
4. 기밀 정보를 직접 저장하지 말고, 비밀번호와 민감한 정보를 암호화하거나 해시 처리하지 마십시오.
5. 애플리케이션의 예외 정보는 가능한 한 적은 힌트를 제공해야 합니다. 사용자 정의 오류 정보를 사용하여 원래 오류 정보를 래핑하는 것이 가장 좋습니다.
6. SQL 주입 탐지 방법은 일반적으로 보조 소프트웨어 또는 웹사이트 플랫폼을 사용하여 탐지합니다. 소프트웨어는 일반적으로 SQL 주입 탐지 도구인 jsky를 사용하며 웹사이트 플랫폼에는 Yisi 웹사이트 보안 플랫폼 탐지 도구가 있습니다. MDCSOFT SCAN 등 MDCSOFT-IPS를 사용하면 SQL 주입, XSS 공격 등을 효과적으로 방어할 수 있습니다.

3. SQL 인젝션 방지

Perl 및 PHP와 같은 스크립팅 언어에서는 SQL 주입을 방지하기 위해 사용자가 입력한 데이터를 이스케이프할 수 있습니다.

PHP의 MySQL 확장은 특수 입력 문자를 이스케이프하는 mysql_real_escape_string() 함수를 제공합니다.

아아아아

4.Like문에 삽입

위와 같이 쿼리할 때 사용자가 입력한 값에 "_", "%"가 포함되어 있으면 이런 상황이 발생합니다. 사용자가 원래 "abcd_"만 쿼리하려고 했으나 쿼리 결과에 "abcd_", "abcde"가 포함됩니다. , 및 "abcdf" 잠깐만요. 사용자가 "30%"(참고: 30%)를 쿼리하려는 경우에도 문제가 발생합니다.

PHP 스크립트에서는 다음 예와 같이 addcslashes() 함수를 사용하여 위 상황을 처리할 수 있습니다. 

if (get_magic_quotes_gpc()) 
{
 $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");
로그인 후 복사

addcslashes() 함수는 지정된 문자 앞에 백슬래시를 추가합니다.

문법 형식:

​addcslashes(문자열,문자)

매개변수 설명

​문자열 필수입니다. 확인할 문자열을 지정합니다.

문자는 선택사항입니다. addcslashes()의 영향을 받는 문자 또는 문자 범위를 지정합니다.

위 내용은 MySQL 및 SQL 주입 및 주입 방지 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

더보기

인기 기사

R.E.P.O. 에너지 결정과 그들이하는 일 (노란색 크리스탈)
2 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
Repo : 팀원을 부활시키는 방법
4 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
헬로 키티 아일랜드 어드벤처 : 거대한 씨앗을 얻는 방법
4 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
스플릿 소설을이기는 데 얼마나 걸립니까?
3 몇 주 전 By DDD
R.E.P.O. 파일 저장 위치 : 어디에 있고 그것을 보호하는 방법은 무엇입니까?
3 몇 주 전 By DDD
더보기

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

더보기

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?
7322
9
자바 튜토리얼
1625
14
Cakephp 튜토리얼
1350
46
라라벨 튜토리얼
1262
25
PHP 튜토리얼
1209
29
더보기
Related knowledge
Docker에서 MySQL 메모리 사용을 줄입니다 Docker에서 MySQL 메모리 사용을 줄입니다 Mar 04, 2025 pm 03:52 PM

이 기사는 Docker에서 MySQL 메모리 사용을 최적화합니다. 모니터링 기술 (Docker Stats, Performance Schema, 외부 도구) 및 구성 전략에 대해 설명합니다. 여기에는 Docker 메모리 제한, 스와핑 및 CGroups와 함께 포함됩니다

MySQL의 문제를 해결하는 방법 공유 라이브러리를 열 수 없습니다. MySQL의 문제를 해결하는 방법 공유 라이브러리를 열 수 없습니다. Mar 04, 2025 pm 04:01 PM

이 기사에서는 MySQL의 "공유 라이브러리를 열 수 없음"오류를 다룹니다. 이 문제는 MySQL이 필요한 공유 라이브러리 (.so/.dll 파일)를 찾을 수 없음에서 비롯됩니다. 솔루션은 시스템 패키지 M을 통한 라이브러리 설치 확인과 관련이 있습니다.

Alter Table 문을 사용하여 MySQL에서 테이블을 어떻게 변경합니까? Alter Table 문을 사용하여 MySQL에서 테이블을 어떻게 변경합니까? Mar 19, 2025 pm 03:51 PM

이 기사는 MySQL의 Alter Table 문을 사용하여 열 추가/드롭 테이블/열 변경 및 열 데이터 유형 변경을 포함하여 테이블을 수정하는 것에 대해 설명합니다.

Linux에서 MySQL을 실행합니다 (Phpmyadmin이있는 Podman 컨테이너가 포함되지 않음) Linux에서 MySQL을 실행합니다 (Phpmyadmin이있는 Podman 컨테이너가 포함되지 않음) Mar 04, 2025 pm 03:54 PM

이 기사는 Linux에 MySQL을 직접 설치하는 것과 Phpmyadmin이없는 Podman 컨테이너 사용을 비교합니다. 각 방법에 대한 설치 단계에 대해 자세히 설명하면서 Podman의 격리, 이식성 및 재현성의 장점을 강조하지만 또한

sqlite 란 무엇입니까? 포괄적 인 개요 sqlite 란 무엇입니까? 포괄적 인 개요 Mar 04, 2025 pm 03:55 PM

이 기사는 자체 포함 된 서버리스 관계형 데이터베이스 인 SQLITE에 대한 포괄적 인 개요를 제공합니다. SQLITE의 장점 (단순성, 이식성, 사용 용이성) 및 단점 (동시성 제한, 확장 성 문제)에 대해 자세히 설명합니다. 기음

MacOS에서 여러 MySQL 버전을 실행 : 단계별 가이드 MacOS에서 여러 MySQL 버전을 실행 : 단계별 가이드 Mar 04, 2025 pm 03:49 PM

이 안내서는 Homebrew를 사용하여 MacOS에 여러 MySQL 버전을 설치하고 관리하는 것을 보여줍니다. 홈 브루를 사용하여 설치를 분리하여 갈등을 방지하는 것을 강조합니다. 이 기사에는 설치, 서비스 시작/정지 서비스 및 Best Pra에 대해 자세히 설명합니다

MySQL 연결에 대한 SSL/TLS 암호화를 어떻게 구성합니까? MySQL 연결에 대한 SSL/TLS 암호화를 어떻게 구성합니까? Mar 18, 2025 pm 12:01 PM

기사는 인증서 생성 및 확인을 포함하여 MySQL에 대한 SSL/TLS 암호화 구성에 대해 설명합니다. 주요 문제는 자체 서명 인증서의 보안 영향을 사용하는 것입니다. [문자 수 : 159]

인기있는 MySQL GUI 도구는 무엇입니까 (예 : MySQL Workbench, Phpmyadmin)? 인기있는 MySQL GUI 도구는 무엇입니까 (예 : MySQL Workbench, Phpmyadmin)? Mar 21, 2025 pm 06:28 PM

기사는 MySQL Workbench 및 Phpmyadmin과 같은 인기있는 MySQL GUI 도구에 대해 논의하여 초보자 및 고급 사용자를위한 기능과 적합성을 비교합니다. [159 자].

See all articles