Bagaimana untuk mengelakkan serangan suntikan SQL menggunakan PHP

Dalam bidang keselamatan rangkaian, serangan suntikan SQL adalah kaedah serangan biasa. Ia mengeksploitasi kod hasad yang diserahkan oleh pengguna hasad untuk mengubah tingkah laku aplikasi untuk melaksanakan operasi yang tidak selamat. Serangan suntikan SQL biasa termasuk operasi pertanyaan, operasi sisipan dan operasi padam. Antaranya, operasi pertanyaan adalah yang paling kerap diserang, dan kaedah biasa untuk menghalang serangan suntikan SQL ialah menggunakan PHP.

PHP ialah bahasa skrip sebelah pelayan yang biasa digunakan yang digunakan secara meluas dalam aplikasi web. PHP boleh berinteraksi dengan pangkalan data hubungan seperti MySQL, tetapi ia juga terdedah kepada serangan suntikan SQL. Untuk mengelakkan serangan suntikan SQL, anda perlu memahami prinsip serangan suntikan SQL terlebih dahulu.

Prinsip serangan suntikan SQL adalah untuk membuat tingkah laku yang tidak dijangka dan berniat jahat dengan mengubah suai sebahagian atau semua kandungan pernyataan pertanyaan SQL. Serangan suntikan SQL terutamanya dibahagikan kepada dua jenis: "suntikan ralat" dan "suntikan buta". Dalam "suntikan ralat", penyerang menyebabkan pelayan mengembalikan ralat dengan menyerahkan data berniat jahat. Dalam "suntikan buta", penyerang akan menyerahkan data berniat jahat untuk menentukan sama ada respons pelayan memenuhi jangkaan, dengan itu secara beransur-ansur memperoleh data yang diperlukan.

Seterusnya, kami memperkenalkan cara menggunakan PHP untuk mencegah serangan suntikan SQL.

Langkah 1: Tapis input pengguna

Menapis input pengguna ialah kaedah paling mudah dan asas untuk menghalang serangan suntikan SQL. Input penapisan menentukan sejauh mana ia boleh dipercayai. Penapisan input pengguna boleh dicapai menggunakan fungsi dalam PHP.

fungsi htmlspecialchars() ialah fungsi dalam PHP yang digunakan untuk menapis input borang web. Fungsi ini boleh menukar aksara khas html yang dimasukkan oleh pengguna (seperti <>&) kepada entiti html (seperti <>&)

filter_var() adalah fungsi dalam PHP yang digunakan untuk tapis input pengguna . Fungsi ini boleh mengesahkan sama ada input pengguna ialah integer, sama ada e-mel, dsb. Selain itu, PHP juga menyediakan fungsi penapis lain, seperti filter_has_var() dan filter_input().

Langkah 2: Gunakan PDO dan bukannya MySQL

PDO ialah lapisan akses data dalam PHP. Ia digunakan untuk mengakses pelbagai jenis pangkalan data dan menyediakan beberapa mekanisme untuk menghalang serangan suntikan SQL. Tidak seperti MySQLi, PDO dilaksanakan berdasarkan pendekatan berorientasikan objek. Antara muka PDO secara eksplisit boleh menggunakan pertanyaan berparameter untuk menghalang serangan suntikan SQL. Satu faedah menggunakan PDO ialah pernyataan SQLnya boleh diparameterkan dengan memberikan ruang letak.

Contoh kod berikut melaksanakan PDO untuk menghalang serangan suntikan SQL:

//连接数据库
$dsn= 'mysql:host=hostname;dbname=databasename;charset=utf8';
$options = array(
   PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,//设置错误模式
   PDO::ATTR_EMULATE_PREPARES => false,//把预处理默认为真
);
try {
   $pdo = new PDO($dsn, $username, $password, $options);
} catch (PDOException $e) {
   print "Error!: " . $e->getMessage() . "<br/>";
   die();
}
//使用PDO进行参数化查询
$stmt = $pdo->prepare('SELECT * FROM user WHERE username = ?');
$stmt->execute(array($_GET['username']));

Langkah 3: Gunakan mysql_real_escape_string()

Fungsi mysql_real_escape_string() ialah salah satu fungsi PHP yang disediakan oleh MySQL. Ia menghalang serangan suntikan SQL dengan melarikan diri daripada aksara khas. Fungsi mysql_real_escape_string() akan merentasi rentetan dan melepaskan aksara khas seperti ', ",,, dan
ke dalam bentuk setara yang selamat. Apabila menggunakan fungsi mysql_real_escape_string(), anda perlu mewujudkan sambungan dengan pelayan dan log mula-mula.

Akhir sekali, perlu diingatkan bahawa serangan suntikan SQL adalah kaedah serangan rangkaian yang sangat biasa Untuk mengelakkan serangan suntikan SQL, anda perlu sentiasa berwaspada dan mengambil langkah yang berkesan, seperti menapis input pengguna dan menggunakan PDO sebagai gantinya dan gunakan fungsi mysql_real_escape_string().

Atas ialah kandungan terperinci Bagaimana untuk mengelakkan serangan suntikan SQL menggunakan PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!