SQL Suntikan dalam ADOdb: Mencegah Kerentanan Laman Web
Serangan suntikan SQL ialah ancaman lazim terhadap keselamatan tapak web, membenarkan penyerang mengubah suai atau mencuri sensitif data dengan mengeksploitasi kelemahan dalam pengesahan input. Artikel ini menyediakan contoh konkrit suntikan SQL untuk menjelaskan kejadiannya dan menawarkan penyelesaian untuk pencegahan.
Bolehkah Suntikan SQL Berlaku Hanya dengan Kaedah POST atau GET?
Suntikan SQL boleh berlaku melalui kaedah POST dan GET. Dalam contoh anda, kod memproses data borang (POST) untuk memasukkan klien baharu ke dalam pangkalan data. Ia menggunakan dengan betul mysql_real_escape_string() untuk melarikan diri dari semua input pengguna, menghalang pernyataan SQL yang berniat jahat daripada dilaksanakan.
Contoh SQL Injection dengan POST:
$name = $_POST['username'];
$sql = "INSERT INTO clients (name) VALUES ('" . mysql_real_escape_string($name) . "')";Dalam contoh ini, input pengguna yang dihantar melalui borang POST ialah melarikan diri sebelum dimasukkan ke dalam pertanyaan SQL. Ini menghalang penyerang daripada menyuntik kod SQL berniat jahat.
Contoh Lain dengan Kaedah GET:
$sql = "SELECT * FROM products WHERE name = '" . $_GET['name'] . "'";
Permintaan GET ini menyemak produk dengan nama yang ditentukan pengguna. Tanpa pengesahan input, penyerang boleh mengubah suai input dan menyuntik kod SQL, contohnya:
rate.php?name=Product' OR 1=1 --
Suntikan ini membenarkan penyerang untuk dapatkan maklumat daripada keseluruhan jadual, kerana 1=1 sentiasa benar.
Pencegahan Langkah:
Untuk mengelakkan suntikan SQL, adalah penting untuk sentiasa mengesahkan dan melepaskan input pengguna. Ini boleh dicapai menggunakan fungsi seperti mysql_real_escape_string() atau dengan menggunakan pernyataan yang disediakan dengan PDO. Selain itu, mengemas kini semua perisian dan kebergantungan secara kerap boleh menambal kelemahan keselamatan.
Kesimpulan:
Memahami cara suntikan SQL berlaku adalah penting untuk melindungi tapak web. Dengan melaksanakan teknik pengesahan input yang betul dan mengikuti perkembangan terkini dengan langkah keselamatan, anda boleh menghalang penyerang daripada mengeksploitasi kelemahan ini.
Atas ialah kandungan terperinci Bolehkah Suntikan SQL Berlaku Melalui Kedua-dua Kaedah POST dan GET?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
