Bagaimanakah Penyata Disediakan Boleh Menghalang Serangan Suntikan SQL dalam Aplikasi PHP?

Mencegah Serangan Injeksi SQL dalam PHP

Dalam aplikasi web, input pengguna selalunya boleh membawa kepada kelemahan, seperti suntikan SQL, jika tidak dikendalikan dengan betul. Suntikan SQL berlaku apabila data yang dibekalkan pengguna dimasukkan secara langsung dalam pernyataan SQL tanpa pengesahan atau sanitasi yang betul.

Masalahnya

Pertimbangkan coretan kod PHP berikut:

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

Jika pengguna memasukkan data berniat jahat seperti nilai'); DROP TABLE jadual;--, pertanyaan SQL menjadi:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

Ini akan mengakibatkan pengguna berniat jahat menggugurkan keseluruhan jadual daripada pangkalan data.

Penyelesaian: Penyata Disediakan dan Parameterisasi

Penyelesaian yang disyorkan untuk mencegah suntikan SQL adalah untuk memisahkan data daripada SQL dengan menggunakan pernyataan yang disediakan dan berparameter pertanyaan. Ini memastikan input pengguna dianggap sebagai data dan bukan sebagai arahan boleh laku.

Menggunakan PDO

PDO menyediakan antara muka yang konsisten dan universal kepada pelbagai pemacu pangkalan data. Untuk menggunakan pernyataan yang disediakan dengan PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Do something with $row
}

Menggunakan MySQLi

Untuk MySQL khususnya, MySQLi menawarkan kaedah execute_query() dalam PHP 8.2 :

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

Atau, dalam versi PHP sebelum 8.2:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type as string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
     // Do something with $row
 }

Untuk pemacu pangkalan data lain, rujuk dokumentasi khusus mereka.

Persediaan Sambungan yang Betul

Untuk memastikan perlindungan sebenar, ia adalah penting untuk mengkonfigurasi sambungan pangkalan data dengan betul:

PDO

Lumpuhkan kenyataan yang disediakan yang dicontohi:

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

MySQLi

Dayakan ralat melaporkan dan menetapkan watak set:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4');

Penjelasan

Pernyataan yang disediakan dihuraikan dan disusun oleh pelayan pangkalan data, manakala parameter dianggap sebagai nilai yang berasingan. Ini menghalang input berniat jahat daripada ditafsirkan sebagai arahan.

Kesimpulan

Dengan menggunakan penyataan dan parameterisasi yang disediakan, anda boleh melindungi aplikasi web PHP anda dengan berkesan daripada serangan suntikan SQL dan mengekalkan integriti data.

Atas ialah kandungan terperinci Bagaimanakah Penyata Disediakan Boleh Menghalang Serangan Suntikan SQL dalam Aplikasi PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!