So verhindern Sie die SQL-Injection in PHP

爱喝马黛茶的安东尼
Freigeben: 2023-02-25 10:20:01
Original
3166 Leute haben es durchsucht

So verhindern Sie die SQL-Injection in PHP

Einfaches SQL-Injection-Beispiel

Zum Beispiel hat A eine Bank-Website. Für Bankkunden steht eine Weboberfläche zur Verfügung, über die sie ihre Kontonummern und Guthaben einsehen können. Ihre Bank-Website verwendet URLs wie http://example.com/get_account_details.php?account_id=102, um Details aus der Datenbank abzurufen.

Zum Beispiel sieht der Code für get_account_details.php so aus:

$accountId = $_GET['account_id'];
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";
Nach dem Login kopieren

Die Kundenkonto-ID wird als Konto_ID über den Abfragestring übergeben. Identisch mit der URL oben, wenn die Konto-ID des Benutzers 102 ist und diese in der Abfragezeichenfolge übergeben wird. Das PHP-Skript erstellt die unten gezeigte Abfrage.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";
Nach dem Login kopieren

accountId 102 ruft die Kontonummer und die Kontostanddetails ab und stellt sie dem Kunden zur Verfügung.

Verwandte Empfehlungen: „php-Tutorial

Nehmen wir ein anderes Szenario an, in dem der intelligente Kunde die account_id übergeben hat, genau wie die Abfragezeichenfolge 0 ODER 1=1. Was passiert jetzt? Das PHP-Skript erstellt die unten gezeigte Abfrage und führt sie in der Datenbank aus.

$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";
Nach dem Login kopieren

Sehen Sie sich die vom Skript erstellte Abfrage und die von der Datenbank zurückgegebenen Ergebnisse an. Sie können sehen, dass diese Abfrage alle Konten und verfügbaren Salden zurückgibt.

Dies wird als SQL-Injection bezeichnet. Dies ist eine einfache Methode, es gibt jedoch viele Möglichkeiten, eine SQL-Injection durchzuführen. Schauen wir uns an, wie Sie den PHP-MySQLi-Treiber und den PHP-PDO-Treiber verwenden, um SQL-Injection zu verhindern.

Verwendung des PHP-MySQLi-Treibers

Sie können die vorbereiteten Anweisungen des PHP-MySQLi-Treibers verwenden, um diese Art von SQL-Injections zu vermeiden.

PHP-Code zur Verhinderung von SQL-Injection lautet wie folgt:

$accountId = $_GET['account_id'];  
if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) {   
    $stmt->bind_param("s", $accountId);  
    $stmt->execute();  
 $result = $stmt->get_result();  
 while ($row = $result->fetch_assoc()) {
 // do something here
 }  
    $stmt->close(); 
}
Nach dem Login kopieren

PHP-PDO-Treiber verwenden

Sie können die Prepare-Anweisung des PHP-PDO-Treibers verwenden, um Vermeiden Sie diese Art von SQL-Injections.

Der PHP-Code zur Lösung des oben genannten SQL-Injection-Problems lautet wie folgt:

$accountId = $_GET['account_id'];  
if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) {   
    $stmt->execute(array('name' => $name));  
 foreach ($stmt as $row) {
 // do something here
 }  
    $stmt->close(); 
}
Nach dem Login kopieren

Das obige ist der detaillierte Inhalt vonSo verhindern Sie die SQL-Injection in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage