> 백엔드 개발 > PHP 튜토리얼 > PHP 파일에서 SQL 주입 공격을 피하는 방법은 무엇입니까?

PHP 파일에서 SQL 주입 공격을 피하는 방법은 무엇입니까?

PHPz
풀어 주다: 2023-05-22 10:24:01
원래의
974명이 탐색했습니다.

인터넷 기술의 지속적인 발전으로 인해 웹사이트와 애플리케이션의 보안 문제가 점점 더 주목을 받고 있습니다. 그 중 SQL 주입 공격은 특히 PHP로 작성된 웹사이트와 애플리케이션에 대한 일반적인 공격 방법입니다. 따라서 이 기사에서는 웹사이트와 애플리케이션의 보안을 보장하기 위해 PHP 파일에서 SQL 주입 공격을 피하는 방법을 소개합니다.

  1. Prepared 문 사용

Prepared 문은 SQL 주입 공격을 방지하는 중요한 방법입니다. SQL 문과 매개변수를 분리하여 잘못된 입력으로 인한 공격 가능성을 방지합니다. PHP에서 일반적으로 사용되는 준비된 명령문에는 PDO 및 MySQLi가 있습니다. 다음은 PDO를 사용하는 예입니다.

//连接数据库
$pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
//预处理SQL语句
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password');
//绑定参数
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
//执行查询
$stmt->execute();
로그인 후 복사
  1. 매개변수화된 쿼리

매개변수화된 쿼리는 준비된 문과 유사하며, SQL 문과 매개변수도 구분됩니다. 차이점은 매개변수화된 쿼리는 자리 표시자를 사용하여 SQL 문의 매개변수를 대체하고 매개변수를 쿼리 함수에 개별적으로 전달하는 것을 의미한다는 것입니다. 다음은 MySQLi를 사용한 예입니다.

//连接数据库
$conn = mysqli_connect('localhost', 'username', 'password', 'test');
//参数化查询
$stmt = mysqli_prepare($conn, 'SELECT * FROM users WHERE username = ? AND password = ?');
mysqli_stmt_bind_param($stmt, 'ss', $username, $password);
mysqli_stmt_execute($stmt);
로그인 후 복사
  1. Filtering input

사용자 입력은 SQL 쿼리 기준으로 사용되기 전에 적절하게 필터링되고 유효성이 검사되어야 합니다. PHP에서 일반적으로 사용되는 필터링 기능에는 HTML 태그와 특수 문자를 필터링할 수 있는 htmlspecialchars() 및 Strip_tags()가 포함됩니다. 예:

//使用htmlspecialchars()过滤用户输入
$username = htmlspecialchars($_POST['username'], ENT_QUOTES, 'UTF-8');
$password = htmlspecialchars($_POST['password'], ENT_QUOTES, 'UTF-8');
//查询用户
$stmt = $pdo->query("SELECT * FROM users WHERE username = '{$username}' AND password = '{$password}'");
로그인 후 복사
  1. 변수 유형 확인

사용자 입력을 SQL 쿼리 조건으로 사용하기 전에 해당 변수 유형이 올바른지 확인해야 합니다. 예를 들어, 사용자 입력이 문자열인 경우에는 따옴표로 묶어야 하며, 사용자 입력이 숫자인 경우에는 따옴표로 묶을 필요가 없습니다. PHP에서 일반적으로 사용되는 유형 검사 함수에는 is_numeric() 및 is_string()이 포함되어 있으며, 이는 변수가 숫자인지 문자열인지 확인하는 데 도움이 됩니다. 예를 들면 다음과 같습니다.

$username = $_POST['username'];
if (is_string($username)) {
    //将字符串用引号括起来
    $username = "'" . $username . "'";
}
$password = $_POST['password'];
if (is_string($password)) {
    //将字符串用引号括起来
    $password = "'" . $password . "'";
}
//查询用户
$stmt = $pdo->query("SELECT * FROM users WHERE username = {$username} AND password = {$password}");
로그인 후 복사

간단히 말하면 SQL 주입 공격은 위험하고 일반적인 공격 방법이므로 이를 방지하려면 효과적인 조치를 취해야 합니다. 이 기사에서는 준비된 명령문, 매개변수화된 쿼리, 입력 필터링, 변수 유형 확인 등 SQL 삽입 공격을 방지하는 여러 가지 방법을 소개합니다. PHP 개발자에게 도움이 되기를 바랍니다.

위 내용은 PHP 파일에서 SQL 주입 공격을 피하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿