Bagaimanakah penyataan yang disediakan dan pertanyaan parameter menghalang suntikan SQL dalam aplikasi PHP?

Mengamankan aplikasi PHP terhadap suntikan SQL

Pengenalan

Suntikan SQL tetap menjadi ancaman kritikal terhadap aplikasi yang mengendalikan input pengguna dalam pertanyaan SQL. Penyerang mengeksploitasi kelemahan untuk menyuntik arahan berniat jahat, yang berpotensi menjejaskan keseluruhan pangkalan data. Butiran artikel ini kaedah yang mantap untuk mencegah suntikan SQL dalam php.

Memahami Ancaman Suntikan SQL

Eksploitasi suntikan SQL berlaku apabila input pengguna yang tidak disahkan secara langsung mempengaruhi pertanyaan SQL. Contohnya:

Jika

$userInput = $_POST['user_input'];
mysql_query("INSERT INTO users (username) VALUES ('$userInput')");

mengandungi kod berniat jahat seperti

, pangkalan data akan melaksanakan perintah yang merosakkan ini. $userInput '; DROP TABLE users; --

Strategi Pencegahan Berkesan

1. Kenyataan yang disediakan dan pertanyaan parameter: The Cornerstone of Defense

Prinsip teras adalah untuk memisahkan data dari struktur pertanyaan SQL. Kenyataan yang disediakan (atau pertanyaan parameter) mencapai ini dengan:

Pemisahan pertanyaan/data:
• Pelayan pangkalan data memasangkan pertanyaan SQL secara bebas dari nilai data.
data sebagai rentetan:
• Semua data dianggap sebagai rentetan harfiah, meneutralkan kod SQL yang berniat jahat.

Menggunakan PDO (Objek Data PHP): Pendekatan yang disyorkan

PDO menyediakan antara muka yang konsisten di seluruh sistem pangkalan data yang berbeza. Inilah cara menggunakan PDO dengan pernyataan yang disediakan:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process each row
}

mysqli (mysql diperbaiki): alternatif untuk mysql

mysqli menawarkan dua cara untuk melaksanakan pertanyaan parameter:

(Php 8.2 dan kemudian): 3 execute_query()

2. Amalan Terbaik Sambungan Pangkalan Data

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process each row
}

prepare() pdo: execute()

Lumpuhkan pernyataan yang disediakan untuk keselamatan optimum:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes a string parameter
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process each row
}

mysqli:

Dayakan pelaporan ralat yang mantap dan tentukan set aksara:

3. Pertimbangan keselamatan tambahan

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

Pertanyaan Dinamik: Walaupun pernyataan yang disediakan mengendalikan parameter data, struktur pertanyaan itu sendiri tidak boleh menjadi parameter. Untuk pertanyaan dinamik, menggunakan senarai putih untuk menyekat nilai yang dibenarkan.

Kesimpulan

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('localhost', 'username', 'password', 'database');
$dbConnection->set_charset('utf8mb4');

Melaksanakan penyata yang disediakan dan mengikuti amalan terbaik sambungan pangkalan data adalah penting untuk melindungi aplikasi PHP dari suntikan SQL. Mengutamakan pemisahan data dalam pertanyaan SQL memastikan integriti pangkalan data dan keselamatan aplikasi.

Atas ialah kandungan terperinci Bagaimanakah penyataan yang disediakan dan pertanyaan parameter menghalang suntikan SQL dalam aplikasi PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!