Bagaimanakah saya boleh menghalang suntikan SQL dengan berkesan dalam aplikasi PHP MySQLi saya?

PHP MySQLI: Mencegah SQL Injection

SQL injection ialah teknik serangan biasa yang mengeksploitasi kelemahan dalam aplikasi web untuk melaksanakan pertanyaan SQL yang berniat jahat. Untuk mengelakkan ini, adalah penting untuk melaksanakan langkah keselamatan yang betul.

Pertanyaan Berparameter

Pendekatan yang disyorkan ialah menggunakan pertanyaan berparameter. Ini melibatkan penggunaan ruang letak (?) dalam pertanyaan dan pembolehubah mengikat kepada ruang letak tersebut. MySQLi menyediakan kaedah untuk menyediakan penyataan, mengikat parameter, dan melaksanakan pertanyaan. Dengan menggunakan pendekatan ini, anda menghapuskan risiko suntikan SQL kerana MySQLi secara automatik akan melarikan diri daripada aksara berniat jahat.

$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();

Sanitasi

Manakala pertanyaan berparameter adalah pertahanan utama terhadap Suntikan SQL, masih merupakan amalan yang baik untuk membersihkan input pengguna. Ini boleh dilakukan menggunakan fungsi seperti mysqli_real_escape_string() atau dengan menggunakan ungkapan biasa untuk mengesahkan input.

Langkah Keselamatan Lain

Selain menghalang suntikan SQL, anda harus melaksanakan langkah keselamatan lain seperti:

• Pengesahan Input: Sahkan semua input pengguna untuk memastikan ia memenuhi jangkaan.
• Perlindungan XSS: Bersihkan input untuk serangan skrip merentas tapak (XSS).
• Perlindungan CSRF: Laksanakan token CSRF untuk menghalang tindakan yang tidak dibenarkan.
• Penyulitan SSL/TLS: Sulitkan data dalam transit untuk melindungi daripada mencuri dengar.
• Audit Keselamatan Berkala: Semak semula aplikasi anda untuk mencari kelemahan secara berkala.

Dengan melaksanakan langkah-langkah ini, anda boleh dengan berkesan melindungi aplikasi PHP MySQLI anda daripada suntikan SQL dan ancaman keselamatan lain.

Atas ialah kandungan terperinci Bagaimanakah saya boleh menghalang suntikan SQL dengan berkesan dalam aplikasi PHP MySQLi saya?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!