PHP에서 SQL 주입을 방지하는 방법

간단한 SQL 주입 예시

예를 들어 A는 은행 웹사이트를 운영하고 있습니다. 은행 고객이 계좌 번호와 잔액을 볼 수 있는 웹 인터페이스가 제공되었습니다. 귀하의 은행 웹사이트는 http://example.com/get_account_details.php?account_id=102와 같은 URL을 사용하여 데이터베이스에서 세부정보를 가져옵니다.

예를 들어 get_account_details.php의 코드는 다음과 같습니다.

$accountId = $_GET['account_id'];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";

고객 accountId는 쿼리 문자열을 통해 account_id로 전달됩니다. 사용자의 계정 ID가 102이고 쿼리 문자열에 전달되는 경우 위의 URL과 동일합니다. Php 스크립트는 아래와 같은 쿼리를 생성합니다.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";

accountId 102는 accountNumber와 잔액 정보를 얻어 고객에게 제공합니다.

관련 권장사항: "php tutorial"

0 OR 1=1 쿼리 문자열처럼 스마트 고객이 account_id를 전달한 또 다른 시나리오를 가정해 보겠습니다. 이제 어떻게 되나요? PHP 스크립트는 아래 표시된 쿼리를 생성하고 데이터베이스에서 실행합니다.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";

스크립트와 데이터베이스에서 반환된 결과에서 생성된 쿼리를 봅니다. 이 쿼리는 모든 계정과 사용 가능한 잔액을 반환하는 것을 볼 수 있습니다.

이를 SQL 주입이라고 합니다. 이는 간단한 방법이지만 SQL 인젝션을 수행하는 방법에는 여러 가지가 있습니다. PHP MySQLi 드라이버와 PHP PDO 드라이버를 사용하여 SQL 주입을 방지하는 방법을 살펴보겠습니다.

PHP-MySQLi 드라이버 사용

PHP-MySQLi 드라이버 준비 문을 사용하면 이러한 유형의 SQL 삽입을 방지할 수 있습니다.

SQL 주입을 방지하기 위한 PHP 코드는 다음과 같습니다.

$accountId = $_GET['account_id'];  
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {   
    $stmt->bind_param("s", $accountId);  
    $stmt->execute();  
 $result = $stmt->get_result();  
 while ($row = $result->fetch_assoc()) {
 // do something here
 }  
    $stmt->close(); 
}

PHP-PDO 드라이버 사용

PHP-PDO 드라이버 준비 문을 사용하면 이러한 유형의 SQL 주입을 방지할 수 있습니다.

위 SQL 주입 문제를 해결하기 위한 PHP 코드는 다음과 같습니다.

$accountId = $_GET['account_id'];  
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {   
    $stmt->execute(array('name' => $name));  
 foreach ($stmt as $row) {
 // do something here
 }  
    $stmt->close(); 
}

위 내용은 PHP에서 SQL 주입을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!