Petua Pengaturcaraan PHP: Cara Mencegah Serangan Suntikan SQL-tutorial php-php.cn

Petua Pengaturcaraan PHP: Cara Mencegah Serangan Suntikan SQL

PHPz

Lepaskan： 2023-08-17 13:50:02

asal

890 orang telah melayarinya

Petua Pengaturcaraan PHP: Cara Mencegah Serangan Suntikan SQL

Keselamatan adalah penting apabila melakukan operasi pangkalan data. Serangan suntikan SQL ialah serangan rangkaian biasa yang mengeksploitasi pengendalian input pengguna yang tidak betul oleh aplikasi, mengakibatkan kod SQL berniat jahat dimasukkan dan dilaksanakan. Untuk melindungi aplikasi kami daripada serangan suntikan SQL, kami perlu mengambil beberapa langkah berjaga-jaga.

Gunakan pertanyaan berparameter
Pertanyaan berparameter ialah cara paling asas dan paling berkesan untuk mencegah serangan suntikan SQL. Ia menghalang kod SQL berniat jahat daripada dilaksanakan dengan memproses nilai yang dimasukkan pengguna secara berasingan daripada pernyataan pertanyaan SQL. Dalam PHP, kita boleh menggunakan sambungan PDO (Objek Data PHP) untuk melaksanakan pertanyaan berparameter.

Berikut ialah contoh kod mudah:

$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_database";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    $username = $_POST['username'];
    $password = $_POST['password'];

    $stmt = $conn->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':password', $password);

    $stmt->execute();

    $result = $stmt->fetchAll(PDO::FETCH_ASSOC);
    // 处理查询结果...

} catch (PDOException $e) {
    // 处理异常...
}

Salin selepas log masuk

Dengan menggunakan pertanyaan berparameter, kami memproses nilai yang dimasukkan oleh pengguna secara berasingan daripada pernyataan pertanyaan SQL, dan menggabungkan pembolehubah dengan pernyataan pertanyaan melalui bindParam< /code> kaedah mengikat Pemegang tempat. Dengan cara ini walaupun pengguna memasukkan kod SQL berniat jahat ke dalam input, ia tidak akan dilaksanakan. <code>bindParam方法将变量与查询语句的占位符绑定。这样即使用户在输入中插入了恶意的SQL代码，它也不会被执行。

过滤和验证输入
除了使用参数化查询，我们还可以对用户的输入进行过滤和验证，以确保输入的数据符合预期的格式。可以使用PHP的过滤器函数来过滤和验证各种类型的输入，如filter_var()、filter_input()等。

下面是一个过滤和验证用户输入的代码示例：

$username = $_POST['username'];
$password = $_POST['password'];

if (!empty($username) && !empty($password)) {
    // 过滤和验证用户名和密码
    $filteredUsername = filter_var($username, FILTER_SANITIZE_STRING);
    $filteredPassword = filter_var($password, FILTER_SANITIZE_STRING);

    // 执行查询操作...
} else {
    // 用户名和密码不能为空
    echo "用户名和密码不能为空。";
}

Salin selepas log masuk

在上面的示例中，我们使用了FILTER_SANITIZE_STRING

filter_var()

filter_input()

rrreee
Dalam contoh di atas, kami telah menggunakan penapis FILTER_SANITIZE_STRING untuk mengalih keluar sebarang aksara haram dalam input pengguna. Dengan cara ini, walaupun pengguna memasukkan kod SQL yang berniat jahat, ia akan dipadam atau dilepaskan secara automatik, sekali gus melindungi aplikasi daripada serangan suntikan SQL.

Meminimumkan kebenaran pangkalan data

Atas ialah kandungan terperinci Petua Pengaturcaraan PHP: Cara Mencegah Serangan Suntikan SQL. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!