简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
> 백엔드 개발 > PHP 튜토리얼 > 본문

PHP에서 SQL 삽입을 방어하는 간단하고 효율적인 방법 공유

*文
풀어 주다: 2023-03-18 09:36:01
원래의
2571명이 탐색했습니다.

WEB 보안은 언제나 매우 심각한 주제였습니다. SQL 주입은 일반적인 공격 방법입니다. 우리 코드는 비준수 데이터를 처리하고 주입을 방지하도록 설계되었습니다. 그러나 약한 유형의 언어인 PHP에는 항상 우리가 고려하지 못하는 위험이 있습니다. 이 기사에서는 SQL 삽입을 방지하는 간단하면서도 효과적인 방법을 공유합니다! ㅋㅋㅋ                                 오래전에 본 전문가의 말을 봤습니다. 프로그램 코드의 60%는 다양한 방어를 위한 것이어야 한다는 것입니다.

사실 지금 보면 SQL 인젝션 방지에는 실제로 다양한 매개변수 필터링이 필요하지 않은데, 아래에서 건조 정보 모드가 켜질 예정입니다!

PHP5.x에서는 새로운 mysql 작업 방법----mysqli를 도입하기 시작했습니다. PHP에는 PHP 사전 처리라는 해당 작업 방법도 있습니다. 객체 지향 접근 방식은 매개변수화된 바인딩 작업을 수행하는 데 사용됩니다. 데이터베이스 작업에 대한 모드 드라이버가 다르기 때문에 SQL 주입을 방지하는 데 매우 효과적일 수 있습니다.看 먼저 코드 예를 살펴보겠습니다. R

<!--?php 
$root = "root";
$pwd = "root";
$host = "localhost";
$database =  "database";
$conn = new mysqli($host,$root,$pwd,$database);//面向对象的方式实例化一个对象
$keywords = $_GET[&#39;keywords&#39;];
$search_sql = "select content from mykey where title = ? ";//其中的?是一个占位符
$search_action = $conn --->prepare($search_sql);//进行预处理操作
$search_action ->bind_param("s",$keywords);//绑定参数,第一个参数表示为上面预处理的的占位符的数量和每一个参数的数据类型,s为字符串,i为整形,d为双精度小数,有几个参数,就写几个s或d或i,比如说iiii,ssss,sidi这样的。然后后面就是有几个参数就写几个要绑定的变量,比如bind_param(&#39;sss&#39;,$username,$password,$code);
$search_action ->bind_result($content);//将结果绑定在相对应的变量上,比如你select了username,password,你就可以写bind_result($usernmae,$password);
$search_action ->execute();//执行sql操作
while($search_action ->fetch()){
echo $content.&#39;<br>&#39;;
}
$search_action ->free_result();//释放内存
$search_action ->close();//结束这个实例化
?>
로그인 후 복사
E

는 PHP 전처리의 매우 간단한 예이므로 개발 속도에 매우 편리할 수 있습니다. 따라서 여기를 보면 아직 이해하지 못하는 사람이 많을 것입니다. , 누군가는 이 바인딩 매개변수를 사용하여 SQL 문을 계속 연결하고 있는지 묻고 싶을 수도 있습니다. 만약 조각난 문장이라면 인젝션이 발생하지 않을까요? 이는 동작 원리로 설명해야 할 것입니다. 실제로 준비 작업 중에 해당 문장은 이미 데이터베이스에서 실행되었으며 후속 바인딩 매개변수와 실행도 마찬가지입니다. , 그냥 데이터만 전달하기 때문에 sql문과 전혀 엮이지 않아 당연히 위험한 코드는 실행되지 않게 된다. 따라서 이 모드에서는 SQL 주입을 효과적으로 방어할 수 있습니다.

PHP 전처리 클래스에는 유용한 작업이 많이 있습니다. 향후 기사에서는 일반적으로 사용되는 PHP 전처리 개발 설명을 요약하겠습니다. Related Related 권장 사항 :

PHP SQL 주입 및 방지 방지 Classic Case Analysis_php Tutorial

Discuz7.2 FAQ.php SQL 주입 취약성 분석, discuz7.2faq.php_php 자습서

php sql 인젝션 공격 및 예방 주의사항

위 내용은 PHP에서 SQL 삽입을 방어하는 간단하고 효율적인 방법 공유의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
php 주입 防御
원천:php.cn
이전 기사:휴대전화 번호를 새로 고치지 않고 확인하기 위한 Ajax 및 PHP 분석 예 다음 기사:XML 파일 데이터를 읽고 출력하는 PHP의 간단한 구현
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
URL 매개변수에서 얻은 PHP 배열이 예상대로 작동하지 않습니다. 카테고리 ID가 포함된 URL 매개변수가 있고 이를 다음과 같은 배열로 처리하려고 합니다. http://example.com?cat[]=3,9,13 PHP에서는 ...
에서 2024-04-06 22:09:02
0
1
1428
Apache에서 CustomLog 지시문을 어디에 배치해야 합니까? 저는 php:7.2-apachedocker를 사용하고 있습니다. 상태 확인 URL 로그인 액세스 로그를 비활성화해야 합니다. 이 링크를 기반으로 Customlog...
에서 2024-04-06 22:03:59
0
1
990
반환 값의 변수 형식은 무엇입니까? 저는 PHP를 처음 배우는 사람입니다. 코드 조각을 찾았습니다: if($x<time()){return[false,'error'];} 논리나 변수는 중요하지 ...
에서 2024-04-06 21:55:20
0
1
778
opentbs를 사용하여 odt 파일을 생성할 때 발생하는 문제: 동일한 키의 값이 별도의 열이 아닌 동일한 행에 표시됩니다. PHP를 사용하여 odt를 만들기 위해 OpenTbs라는 라이브러리를 사용하고 있는데, 열과 행이 동적으로 생성되기 때문에 사용하고 있습니다. 행과 열을 만드는 ...
에서 2024-04-06 20:18:18
0
1
483
루프 오버를 위해 ID별로 MySQL 결과 그룹화 mysql에 비행 데이터가 포함된 테이블이 있습니다. codeigniter3 travel_idair_idFlightDurationout_or_inflightdur...
에서 2024-04-06 17:27:56
0
1
406
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!