Bagaimana untuk mengelakkan pengecualian semasa pelaksanaan pernyataan SQL dalam pembangunan bahasa PHP?

Dengan pembangunan teknologi Internet yang berterusan, semakin banyak laman web dan aplikasi menggunakan PHP sebagai bahasa pembangunan, dan salah satu masalah biasa melibatkan pelaksanaan pernyataan SQL. Semasa pelaksanaan pernyataan SQL, situasi tidak normal boleh menyebabkan beberapa masalah, seperti membocorkan maklumat pengguna, merosakkan kestabilan sistem, dsb. Oleh itu, artikel ini akan memperkenalkan cara untuk mencegah pengecualian semasa pelaksanaan pernyataan SQL dalam pembangunan bahasa PHP.

1. Gunakan objek PDO

PDO (Objek Data PHP) ialah lapisan abstrak dalam PHP untuk mengakses pangkalan data. Akses kepada berbilang pangkalan data boleh dicapai melalui objek PDO, mengelakkan pertindihan kod, dan menyediakan cara yang lebih mudah dan selamat untuk melaksanakan pernyataan SQL. Berbanding dengan pernyataan SQL asli, API PDO adalah lebih teguh kerana ia menapis secara automatik beberapa pernyataan SQL yang tidak selamat yang mungkin mengandungi kod berbahaya, seperti serangan suntikan SQL.

Sebagai contoh, melalui pelaksanaan penyataan SQL asli PDO:

try {
    $dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
    $sth = $dbh->prepare('SELECT * FROM table WHERE id = ?');
    $sth->execute(array($id));
    $result = $sth->fetchAll();
} catch (PDOException $e) {
    echo "Error!: " . $e->getMessage() . "<br/>";
    die();
}

Dapat dilihat bahawa objek PDO menggunakan kaedah persediaan untuk mempraproses pernyataan SQL, dan menggunakan kaedah pelaksanaan untuk melaksanakan SQL kenyataan. Dengan cara ini serangan suntikan SQL boleh dielakkan secara besar-besaran.

2. Cegah serangan suntikan SQL

Serangan suntikan SQL merujuk kepada penyerang yang memasukkan nilai medan hasad ke dalam pernyataan SQL untuk memintas pengesahan atau melakukan operasi hasad. Contohnya, kod berikut:

$id = $_GET['id'];
$sql = "SELECT * FROM table WHERE id = " . $id;
$result = $conn->query($sql);

Jika penyerang memberikan nilai id kepada 1 DROP TABLE -- , ia akan menyebabkan operasi berniat jahat memadam keseluruhan jadual. Untuk mengelakkan serangan suntikan SQL, langkah berikut boleh diambil:

1. Pengesahan input

Pengesahan keselamatan data yang dimasukkan pengguna, seperti melalui ungkapan biasa atau penapisan data, dsb. Semak data input.

2. Gunakan parameter terikat

Gunakan parameter terikat untuk memproses input pengguna, supaya parameter input boleh dilepaskan dan kemudian disambungkan dengan pernyataan SQL, dengan itu mengelakkan serangan suntikan .

Contohnya:

$id = $_GET['id'];
$stmt = $conn->prepare("SELECT * FROM table WHERE id=?");
$stmt->bindValue(1, $id);
$stmt->execute();
$result = $stmt->fetch();

Dalam contoh ini, kita dapat melihat bahawa bindValue digunakan untuk mengikat parameter Apabila melaksanakan pernyataan SQL yang ditapis, hanya nilai parameter dalam objek $stmt yang diperlukan menjadi Hanya menggantikannya.

3. Gunakan penapis

Gunakan penapis untuk memastikan bahawa data yang dihantar oleh pengguna hanya mengandungi aksara yang sah. Contohnya, gunakan penapis melalui fungsi filter_var dalam PHP:

$id = $_GET['id'];
$id = filter_var($id, FILTER_SANITIZE_NUMBER_INT);
$sql = "SELECT * FROM table WHERE id = " . $id;
$result = $conn->query($sql);

3 Elakkan kebocoran maklumat sensitif

Semasa proses pertanyaan SQL, dalam beberapa kes, anda perlu menanyakan beberapa perkara sensitif. maklumat, seperti kata laluan, dsb. Memandangkan set hasil SQL perlu dikembalikan kepada pemanggil, maklumat sensitif mungkin dibocorkan.

Untuk mengelakkan kebocoran maklumat sensitif, anda boleh menggunakan kaedah berikut:

1. Jangan simpan maklumat sensitif seperti kata laluan dalam pangkalan data

Apabila pengguna mendaftar atau Apabila pengguna menukar kata laluan mereka, kata laluan yang diserahkan oleh pengguna hendaklah disulitkan tepat pada masanya dan kemudian disimpan dalam pangkalan data. Ini mengelakkan kebocoran kata laluan pengguna disebabkan oleh pertanyaan SQL.

2. Sulitkan maklumat sensitif

Apabila memproses set hasil pertanyaan SQL dalam aplikasi, maklumat sensitif (seperti kata laluan) boleh disulitkan sebelum dikembalikan kepada pemanggil .

3. Hadkan penggunaan maklumat sensitif

Apabila set hasil pertanyaan mengandungi maklumat sensitif, penggunaan maklumat ini perlu dihadkan secara munasabah, seperti membenarkan hanya pentadbir atau pengguna tertentu Jom lawati.

Ringkasnya, dengan menggunakan objek PDO, menghalang serangan suntikan SQL dan mengelakkan kebocoran maklumat sensitif, pengecualian semasa pelaksanaan pernyataan SQL boleh dihalang dengan berkesan dalam pembangunan bahasa PHP. Pada masa yang sama, perlu diingatkan bahawa aplikasi yang berbeza perlu memilih kaedah yang sesuai untuk pelaksanaan berdasarkan keadaan tertentu.

Atas ialah kandungan terperinci Bagaimana untuk mengelakkan pengecualian semasa pelaksanaan pernyataan SQL dalam pembangunan bahasa PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!