預防 PHP 注入攻擊的有效方法

預防 PHP 注入攻擊的方法包括：使用參數化查詢以防止 SQL 注入。使用濾波輸入函數過濾傳入的值。使用 mysqli_real_escape_string() 函數轉義特殊字元。使用白名單和黑名單驗證來過濾危險字元或模式。

預防PHP 注入攻擊的有效方法

PHP 注入攻擊是一種利用PHP 應用程式中的漏洞，插入惡意SQL 查詢的攻擊類型。這種攻擊可能導致資料外洩、資料庫損壞甚至系統接管。

預防方法

1.參數化查詢

#使用參數化查詢可以防止 SQL 注入攻擊。這種技術使用佔位符 (?) 來取代 SQL 查詢中的實際值，並在執行查詢之前將值傳遞給 MySQL。

範例程式碼：

$stmt = $conn->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bind_param("s", $username);

2. 使用篩選函數

濾波輸入可以防止注入攻擊。可以使用 PHP 的 filter_input() 函數來過濾傳入的值。

範例程式碼：

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

3. 轉義特殊字元

可以使用mysqli_real_escape_string() 函數轉義輸入的特殊字符，防止它們被解釋為SQL 指令。

範例程式碼：

$username = mysqli_real_escape_string($conn, $username);

4. 使用白名單和黑名單驗證

白名單和黑名單驗證可以過濾掉危險字元或模式。

範例程式碼：

// 白名单
$allowed_chars = ['a', 'b', 'c'];
if (!in_array($char, $allowed_chars)) {
  // 输出错误消息
}

// 黑名单
$banned_chars = ['<', '>', '"', '\''];
if (preg_match('/[' . implode('', $banned_chars) . ']/', $input)) {
  // 输出错误消息
}

實戰案例

以下是展示如何使用參數化查詢和篩選函數防止注入攻擊的程式碼範例：

// 获取用户输入
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

// 准备和执行查询
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bind_param("s", $username);
$stmt->execute();

結論

透過實施這些預防措施，您可以保護您的PHP 應用程式免受注入攻擊。

以上是預防 PHP 注入攻擊的有效方法的詳細內容。更多資訊請關注PHP中文網其他相關文章！