PHP 안티 SQL 주입 원리

SQL 주입: 웹 양식 제출에 SQL 명령을 삽입하거나 도메인 이름 또는 페이지 요청에 대한 쿼리 문자열을 입력하여 궁극적으로 서버를 속여 악성 SQL 명령을 실행하게 합니다.

준비된 명령문은 SQL 주입에 매우 유용합니다. 매개변수 값이 전송된 후 다른 프로토콜을 사용하여 데이터의 적법성을 보장하기 때문입니다. 전처리는 실행하려는 SQL의 컴파일된 템플릿으로 표시되며, 이는 변수 매개변수를 사용하여 사용자 정의할 수 있습니다. (권장 학습: PHP 비디오 튜토리얼)

방어 방법 1

mysql_real_escape_string – 연결의 현재 문자 집합을 고려하여 SQL 문에 사용된 문자열의 특수 문자를 이스케이프하세요!

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and
password='". mysql_real_escape_string($pw)."' limit 1";

방법 2:

magic_quotes_gpc를 열어 SQL 삽입을 방지하세요. php.ini에는 Magic_quotes_gpc =

Off라는 설정이 있습니다. 이는 기본적으로 꺼져 있습니다. 켜져 있으면 '를'로 변환하는 등 사용자가 제출한 SQL 쿼리를 자동으로 변환합니다. SQL 주입을 방지하는 데 중요한 역할을 합니다.

magic_quotes_gpc=Off인 경우 addlashes() 함수를 사용하세요.

방법 3:

맞춤 기능

function check_param($value=null) { 
 #select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile
$str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
if(!$value) {
        exit('没有参数！'); 
    }elseif(eregi($str, $value)) { 
        exit('参数非法！');
    } return true; 

} 
function str_check( $value ) {
   if(!get_magic_quotes_gpc()) { 
   // 进行过滤 
   $value = addslashes($value); 
   } 
   $value = str_replace("_", "\_", $value); 
  $value = str_replace("%", "\%", $value); 
   return $value; 

} 
function post_check($value) { 
        if(!get_magic_quotes_gpc()) {
    
  // 进行过滤  
            $value = addslashes($value);
        } 
        $value = str_replace("_", "\_", $value); 
        $value = str_replace("%", "\%", $value); 
        $value = nl2br($value); 
        $value = htmlspecialchars($value); 
        return $value; 
    }

위 내용은 PHP 안티 SQL 주입 원리의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!