Einfaches SQL-Injection-Beispiel
Zum Beispiel hat A eine Bank-Website. Für Bankkunden steht eine Weboberfläche zur Verfügung, über die sie ihre Kontonummern und Guthaben einsehen können. Ihre Bank-Website verwendet URLs wie http://example.com/get_account_details.php?account_id=102, um Details aus der Datenbank abzurufen.
Zum Beispiel sieht der Code für get_account_details.php so aus:
$accountId = $_GET['account_id']; $query = "SELECT accountNumber, balance FROM accounts WHERE accountId = $accountId";
Die Kundenkonto-ID wird als Konto_ID über den Abfragestring übergeben. Identisch mit der URL oben, wenn die Konto-ID des Benutzers 102 ist und diese in der Abfragezeichenfolge übergeben wird. Das PHP-Skript erstellt die unten gezeigte Abfrage.
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 102";
accountId 102 ruft die Kontonummer und die Kontostanddetails ab und stellt sie dem Kunden zur Verfügung.
Verwandte Empfehlungen: „php-Tutorial“
Nehmen wir ein anderes Szenario an, in dem der intelligente Kunde die account_id übergeben hat, genau wie die Abfragezeichenfolge 0 ODER 1=1. Was passiert jetzt? Das PHP-Skript erstellt die unten gezeigte Abfrage und führt sie in der Datenbank aus.
$query = "SELECT accountNumber, balance FROM accounts WHERE accountId = 0 OR 1=1";
Sehen Sie sich die vom Skript erstellte Abfrage und die von der Datenbank zurückgegebenen Ergebnisse an. Sie können sehen, dass diese Abfrage alle Konten und verfügbaren Salden zurückgibt.
Dies wird als SQL-Injection bezeichnet. Dies ist eine einfache Methode, es gibt jedoch viele Möglichkeiten, eine SQL-Injection durchzuführen. Schauen wir uns an, wie Sie den PHP-MySQLi-Treiber und den PHP-PDO-Treiber verwenden, um SQL-Injection zu verhindern.
Verwendung des PHP-MySQLi-Treibers
Sie können die vorbereiteten Anweisungen des PHP-MySQLi-Treibers verwenden, um diese Art von SQL-Injections zu vermeiden.
PHP-Code zur Verhinderung von SQL-Injection lautet wie folgt:
$accountId = $_GET['account_id']; if ($stmt = $mysqli->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = ?')) { $stmt->bind_param("s", $accountId); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something here } $stmt->close(); }
PHP-PDO-Treiber verwenden
Sie können die Prepare-Anweisung des PHP-PDO-Treibers verwenden, um Vermeiden Sie diese Art von SQL-Injections.
Der PHP-Code zur Lösung des oben genannten SQL-Injection-Problems lautet wie folgt:
$accountId = $_GET['account_id']; if ($stmt = $pdo->prepare('SELECT accountNumber, balance FROM accounts WHERE accountId = :accountId')) { $stmt->execute(array('name' => $name)); foreach ($stmt as $row) { // do something here } $stmt->close(); }
Das obige ist der detaillierte Inhalt vonSo verhindern Sie die SQL-Injection in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!