지역 사회 배우다 도구 라이브러리 여가
찾다
한국어
> 백엔드 개발 > PHP 튜토리얼 > 본문

PHP 개발에서 SQL 주입 공격을 방지하는 방법

WBOY
풀어 주다: 2023-06-27 20:56:01
원래의
1276명이 탐색했습니다.

PHP 개발 시 SQL 주입 공격을 방지하는 방법

SQL 주입 공격은 웹 애플리케이션에서 SQL 문을 동적으로 구성한 다음 이러한 SQL 문을 데이터베이스에서 실행하여 공격자가 악의적인 작업을 수행하거나 민감한 데이터를 얻을 수 있는 공격 방법입니다. 이 공격 방법의 경우 개발자는 웹 애플리케이션의 보안을 보장하기 위한 보호 조치를 취해야 합니다. 이 기사에서는 PHP 개발에서 SQL 주입 공격을 방지하는 방법을 소개합니다.

  1. 매개변수 바인딩

PHP에서는 PDO 또는 mysqli 확장 라이브러리를 사용하여 매개변수 바인딩을 구현하고 SQL 문과 입력 매개변수를 별도로 실행할 수 있습니다. 이 방법을 사용하면 매개변수에 SQL 예외 문자 및 명령문이 포함되는 것을 방지하고 내부 SQL 주입 공격을 방지할 수 있습니다.

PDO를 예로 들면 코드는 다음과 같습니다. 

//准备SQL语句
$sql = "SELECT name, age, email FROM user WHERE id = :id AND age > :age";
$stmt = $pdo->prepare($sql);
 
//绑定参数
$stmt->bindParam(':id', $id, PDO::PARAM_INT);
$stmt->bindParam(':age', $age, PDO::PARAM_INT);
 
//执行查询语句
$stmt->execute();
로그인 후 복사
  1. String escape

사용자 입력 데이터를 데이터베이스에 저장하기 전에 이스케이프 기능을 사용하여 문자열을 이스케이프해야 합니다. PHP에서는 mysql_real_escape_string() 및 mysqli_real_escape_string() 함수를 사용하여 탈출할 수 있습니다. 이 방법은 낮은 수준의 예방 조치이므로 다른 안전한 보호 조치와 함께 사용하는 것이 좋습니다.

코드 예: 

//获取用户输入
$username = $_POST['username'];
$password = $_POST['password'];

//转义字符串
$username = mysql_real_escape_string($username);
$password = mysql_real_escape_string($password);

//准备SQL,然后查询
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
mysql_query($sql);
로그인 후 복사
  1. 입력 확인

입력 확인은 입력이 적법하고 예상 유형 및 형식을 준수하는지 확인하기 위해 입력 매개변수를 필터링하고 검증하는 것을 의미합니다. 이 접근 방식을 사용하면 잠재적인 SQL 주입 취약점을 피할 수 있습니다. 예를 들어, 쿼리의 매개변수가 숫자인 경우 is_numeric() 함수를 사용하여 숫자인지 확인할 수 있습니다. 쿼리의 매개변수가 문자열인 경우 ctype_alpha() 함수를 사용하여 문자만 포함되어 있는지 확인할 수 있습니다. 

//对用户输入进行检查
if (is_numeric($_GET['id'])) {
    $id = $_GET['id'];
    
    //查询数据库
    $sql = "SELECT * FROM users WHERE id = $id";
    mysql_query($sql);
}
로그인 후 복사
  1. 데이터베이스 권한 제어

웹 애플리케이션을 개발할 때 특정 계정과 권한을 사용하여 데이터베이스에 연결할 수 있습니다. 필요한 데이터 및 작업만 승인되도록 계정 및 권한을 설정할 때 신중하게 고려해야 합니다. 예를 들어 읽기 전용 계정은 INSERT, UPDATE 및 DELETE 작업을 수행할 수 없으므로 SQL 주입 공격의 위험이 크게 줄어듭니다.

요약:

이 기사에서는 매개변수 바인딩, 문자열 이스케이프, 입력 확인 및 데이터베이스 권한 제어를 포함하여 PHP 개발에서 SQL 주입 공격을 방지하는 네 가지 방법을 소개합니다. 개발자는 애플리케이션 시나리오와 웹 애플리케이션의 보안을 보장해야 하는 필요성에 따라 적절한 보호 조치를 선택해야 합니다. 동시에 PHP 버전을 업그레이드하고 적시에 데이터베이스 소프트웨어를 업데이트하는 것도 SQL 주입 공격을 예방하는 효과적인 수단입니다.

위 내용은 PHP 개발에서 SQL 주입 공격을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
php安全编程 sql防注入 php注入攻击防御
원천:php.cn
이전 기사:PHP 배열 함수에서 array_chunk()를 사용하는 방법에 대한 자세한 설명 다음 기사:PHP와 React를 사용하여 실시간으로 데이터 변경 사항을 표시하는 동적 데이터 시각화 애플리케이션 개발
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
Prestashop 설치 문제: 맞춤 모듈을 설치할 수 없습니다. 저는 Prestashop 모듈 개발이 처음입니다. 저는 Amy의 첫 번째 prestashop 모듈을 구축하려고 합니다. [참조: 제 코드는 다음과 같습니다. 이 ...
에서 2024-04-03 19:24:44
0
1
402
VueJS 2 애플리케이션이 1로 컴파일됨 VueJS를 프런트엔드로 사용하여 애플리케이션을 구축하고 있습니다. 하지만 우리는 2개의 앱을 하나로 병합하고 있습니다. 대중에게 공개되는 전자상거래 측면에는 직...
에서 2024-04-03 12:00:59
0
1
371
PHP 및 MYSQL의 크로스탭 쿼리 저는 MySQL에서 크로스탭 쿼리를 구현하는 방법을 찾고 있었고 이 게시물에서 답을 찾았습니다: MySQL에서 동적 열로 행의 날짜 표시. 쿼리를 시도하고 작동하...
에서 2024-04-02 22:34:20
0
1
414
로고를 탐색 표시줄에 맞출 수 없습니다 저는 YouTube 튜토리얼을 따라가며 똑같은 코드를 작성했지만 *{margin:0;padding:0;box-sizing:border-box;}처럼 내 로고가 탐...
에서 2024-04-02 11:13:17
0
1
330
Postman을 사용하여 등록 기능을 테스트하기 위해 요청 본문을 채울 수 없습니다. *수정됨* 저는 사용자가 등록, 로그인, 게시물 작성, 프로필 및 게시물 편집, 게시물 삭제 및 자신을 완전히 삭제할 수 있는 매우 간단한 소셜 미디어 애플리케이션을 개발 ...
에서 2024-04-01 10:09:37
0
1
348
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿