PHP 데이터베이스 연결 보안: SQL 삽입 공격을 방지하는 방법

PHP 데이터베이스 연결 보안: SQL 주입 공격을 방지하는 방법

소개:
웹 애플리케이션을 개발하는 과정에서 데이터베이스는 매우 중요한 구성 요소 중 하나입니다. 그러나 부정확하거나 안전하지 않은 데이터베이스 연결로 인해 악의적인 사용자가 SQL 주입 공격을 수행할 수 있으며, 이는 당사 애플리케이션의 보안을 심각하게 위협할 수 있습니다. SQL 주입 공격으로부터 애플리케이션을 보호하려면 몇 가지 보안 조치를 취해야 합니다. 이 기사에서는 일반적으로 사용되는 PHP 데이터베이스 연결 보안 방법을 소개하고 해당 코드 예제를 제공합니다.

1. 준비된 문 사용
준비된 문은 여러 번 실행할 수 있는 SQL 문 템플릿입니다. 쿼리 로직에서 사용자 데이터를 분리함으로써 준비된 문은 SQL 삽입 공격을 효과적으로 방지할 수 있습니다. 다음은 준비된 문을 사용하는 예입니다.

// 数据库连接参数
$servername = "localhost";
$username = "root";
$password = "password";
$dbname = "mydb";

// 创建数据库连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接是否成功
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 使用预处理语句进行查询
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);

// 设置查询参数
$username = $_POST['username'];
$password = $_POST['password'];

// 执行查询
$stmt->execute();

// 处理查询结果
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理每一行的数据
}

// 关闭连接
$stmt->close();
$conn->close();

2. 매개변수화된 쿼리 사용
매개변수화된 쿼리는 사용자 데이터의 값을 매개변수로 SQL 쿼리에 전달하는 기술입니다. 매개변수화된 쿼리를 사용하면 SQL 주입 공격을 효과적으로 방지할 수 있습니다. 다음은 매개변수화된 쿼리를 사용하는 예입니다.

// 数据库连接参数
$servername = "localhost";
$username = "root";
$password = "password";
$dbname = "mydb";

// 创建数据库连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接是否成功
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 准备查询语句
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");

// 绑定查询参数
$stmt->bind_param("ss", $_POST['username'], $_POST['password']);

// 执行查询
$stmt->execute();

// 处理查询结果
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 处理每一行的数据
}

// 关闭连接
$stmt->close();
$conn->close();

3. 필터 기능 사용
PHP는 mysqli_real_escape_string，可用于对输入的字符串进行转义，以防止SQL注入攻击。下面是一个使用mysqli_real_escape_string함수 예:

// 数据库连接参数
$servername = "localhost";
$username = "root";
$password = "password";
$dbname = "mydb";

// 创建数据库连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接是否成功
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 过滤输入的字符串
$username = mysqli_real_escape_string($conn, $_POST['username']);
$password = mysqli_real_escape_string($conn, $_POST['password']);

// 执行查询
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = $conn->query($sql);

// 处理查询结果
if ($result->num_rows > 0) {
    while ($row = $result->fetch_assoc()) {
        // 处理每一行的数据
    }
} else {
    echo "0 结果";
}

// 关闭连接
$conn->close();

결론:
웹 애플리케이션 개발 시 데이터베이스 연결 보안에 주의해야 합니다. 문제. 준비된 문, 매개변수화된 쿼리, 필터 기능 등의 방법을 사용하면 SQL 주입 공격을 효과적으로 방지할 수 있습니다. 실제 개발에서는 특정 상황에 따라 적절한 방법을 선택하고 모범 사례를 따라 애플리케이션의 보안을 보호해야 합니다.

위 내용은 PHP 데이터베이스 연결 보안: SQL 삽입 공격을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!