php SQLインジェクション防止に関する経験-PHPチュートリアル-php.cn

php SQLインジェクション防止に関する経験

WBOY

リリース： 2016-06-20 12:50:00

オリジナル

843 人が閲覧しました

原文 http://www.cnblogs.com/liuzhang/p/4753467.html

原因

その1この認識がないと、一部のデータは厳密に検証されず、クエリ用に SQL に直接接続されてしまいます。

$id = $_GET['id'];  $sql = "SELECT name FROM users WHERE id = $id";

ログイン後にコピー

$_GET['id'] にはデータ型の検証がないため、インジェクターは「and 1= 1 or」などのあらゆる種類のデータを送信できます。、これは安全でないデータです。以下のように書いた方が安全です。

$id = intval($_GET['id']);  $sql = "SELECT name FROM users WHERE id = $id";

ログイン後にコピー

安全でないものを削除するには、id を int 型に変換します。

データの検証

インジェクションを防ぐ最初のステップは、データを検証することです。データは、対応するタイプに従って厳密に検証できます。たとえば、int 型は intval を通じて直接変換できます。

$id =intval( $_GET['id']);

ログイン後にコピー

文字は処理がより複雑です。まず、sprintf 関数を使用して出力をフォーマットし、文字列であることを確認します。次に、いくつかのセキュリティ関数を使用して、次のようないくつかの不正な文字を削除します。

$str = addslashes(sprintf("%s",$str)); //也可以用 mysqli_real_escape_string 函数替代addslashes

ログイン後にコピー

これは、将来的にはより安全になります。もちろん、次のような「バッファオーバーフロー攻撃」を防ぐために文字列の長さをさらに決定することもできます。

$str = addslashes(sprintf("%s",$str));  $str = substr($str,0,40); //最大长度为40

ログイン後にコピー

パラメータ化されたバインディング

パラメータ化されたバインディング、別のバリアSQLインジェクションを防ぐため。 php MySQLi と PDO はどちらもそのような機能を提供します。たとえば、MySQLi は次のようなクエリを実行できます。

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");$code = 'DEU';$language = 'Bavarian';$official = "F";$percent = 11.2;$stmt->bind_param('sssd', $code, $language, $official, $percent);

ログイン後にコピー

PDO は次のようにさらに便利です。

/* Execute a prepared statement by passing an array of values */$sql = 'SELECT name, colour, calories  FROM fruit  WHERE calories < :calories AND colour = :colour'; $sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));$sth->execute(array(':calories' => 150, ':colour' => 'red'));$red = $sth->fetchAll();$sth->execute(array(':calories' => 175, ':colour' => 'yellow'));$yellow = $sth->fetchAll();

ログイン後にコピー

私たちのほとんどはプログラミングに PHP フレームワークを使用します。自分で実行しないことをお勧めします。フレームワークによって指定されたパラメーターバインディングに従って SQL とクエリを記述します。より複雑な SQL ステートメントに遭遇した場合は、自分でステートメントを記述する際に厳密な判断に注意する必要があります。 wordprss dbクエリ文など、PDOやMySQLiを使わずに用意されたものを自分で書くこともでき、厳密な型検証も受けていることがわかります。

function prepare( $query, $args ) {  if ( is_null( $query ) )     return;  // This is not meant to be foolproof --        but it will catch obviously incorrect usage.  if ( strpos( $query, '%' ) === false ) {     _doing_it_wrong( 'wpdb::prepare' ,      sprintf ( __( 'The query argument of %s         must have a placeholder.' ), 'wpdb::prepare()' ), '3.9' );   }  $args = func_get_args();  array_shift( $args );  // If args were passed as an array (as in vsprintf), move them up  if ( isset( $args[ 0] ) && is_array( $args[0]) )     $args = $args [0];  $query = str_replace( "'%s'", '%s' , $query );     // in case someone mistakenly already singlequoted it  $query = str_replace( '"%s"', '%s' , $query );     // doublequote unquoting  $query = preg_replace( '|(?<!%)%f|' , '%F' , $query );     // Force floats to be locale unaware  $query = preg_replace( '|(?<!%)%s|', "'%s'" , $query );     // quote the strings, avoiding escaped strings like %%s  array_walk( $args, array( $this, 'escape_by_ref' ) );  return @ vsprintf( $query, $args );}

ログイン後にコピー

まとめ

セキュリティは非常に重要であり、基本的なスキルを持っている人がいないと、プロジェクトは抜け穴だらけで、何をしても役に立たないこともわかります拡張性と保守性がいかに優れているか。平時より注意を払い、安全意識を確立し、習慣を身に付けましょうもちろん、基本的な安全性についてはコーディングに時間を費やす必要はありません。この習慣を身につければ、たとえ緊急で時間が短いプロジェクトであっても、高い品質でプロジェクトを遂行することができます。データベースを含め、将来的に責任を負うすべてのものが奪われ、損失が発生するまで待ってから真剣に対処しないでください。相互励まし合います！