PHP フォームを使用して SQL インジェクション攻撃を防ぐ方法

SQL インジェクション攻撃とは、現在比較的一般的なネットワーク攻撃手法であり、不正な SQL 文を構築してデータベースに対して不正な操作を行い、機密情報の取得やデータの破壊などを行うことを指します。 PHP アプリケーションでは、フロントエンドでのデータ入力手段としてフォームが使用されており、フォームに入力されたデータは SQL クエリ文のコンポーネントとして使用される可能性が高いため、SQL インジェクション攻撃の防止はセキュリティ上重要です。アプリケーションの。この記事では、PHP フォームを使用して SQL インジェクション攻撃を防ぐ方法を紹介します。

1. SQL インジェクション攻撃とは何ですか?

SQL インジェクション攻撃とは、攻撃者が Web フォームまたは入力ボックスに悪意のある SQL コードを入力して、データベース システムをだまして悪意のある命令を実行させることを指します。 。したがって、攻撃者は SQL インジェクション攻撃を通じてデータを表示、変更、削除したり、高度な技術を通じてより悪意のある動作を実行したりする可能性があります。

SQL インジェクション攻撃は現在、多くのアプリケーションで蔓延しています。これは、多くの開発者が入力検証の欠如によって引き起こされるセキュリティ問題を十分に考慮していないためです。攻撃者がこのような脆弱性を発見すると、それを簡単に悪用して機密情報にアクセスし、重要なデータを取得したり、アプリケーションのデータベースを改ざんしたりする可能性があります。

2. PHP フォームを使用して SQL インジェクション攻撃を防ぐ方法

1. ユーザー入力の動的フィルタリング

無分別な文字列結合方法の使用は避け、代わりにユーザーが入力したデータを動的に処理します。通常、入力データがデータベース内で SQL ステートメントとして実行されないように、「mysqli_real_escape_string()」などの関数をエスケープに使用できます。この関数には優れたエスケープ機能があり、すべての文字を処理できますが、実際にはパフォーマンスが低下する可能性があります。

サンプルコード:

$con = mysqli_connect("localhost", "my_user", "my_password", "my_db");
if (! $con) {

}

$username = mysqli_real_escape_string($con, $_POST['username']);
$password = mysqli_real_escape_string($con, $_POST['パスワード']);
$sql = "SELECT * FROM users WHERE username='$username' およびpassword='$password'";
$result = mysqli_query($con, $sql);
?>

2. PDO 準備済みステートメントの使用

PDO 準備済みステートメントは、SQL インジェクション攻撃を防ぐより安全な方法を提供します。プリペアド ステートメントを使用すると、SQL インジェクション攻撃による攻撃者による悪意のある SQL ステートメントの構築を防ぎ、アプリケーションのセキュリティを確保できます。

準備されたステートメントの原則: プレースホルダーを使用して実際の変数を置き換え、実行フェーズでパラメーターを渡します。この既存のプレースホルダーは特殊な処理が施されているため、SQL インジェクションの問題を回避できます。 PDO は PDOStatement クラスを提供し、このクラスのインターフェイスを通じて SQL の前処理を完了できます。以下に例を示します:

$stmt = $dbh->prepare("SELECT * FROM users WHERE username=:username and password=:password");
$ stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();
? >

3. 複数のステートメントの実行を禁止する

複数の SQL ステートメントを安易に実行しないでください。複数の SQL ステートメントを実行すると、プログラムに対する SQL インジェクション攻撃のリスクが高まります。したがって、複数の SQL ステートメントを一緒に実行しないでください。

一度に 1 つの項目だけを実行し、実行結果を確認します。以下は、複数のステートメントをフィルタリングする例です:

if (substr_count($_GET['id'], ' ') > 0) {
die('Error ' );
}
?>

4. 特殊文字の使用を禁止する

一重引用符、カンマ、括弧などの危険な特殊文字については、 , など、PHP で提供されているフィルタ関数を使用してフィルタリングできます。

サンプルコード:

$username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);
$password = filter_var($_POST['パスワード'], FILTER_SANITIZE_STRING);
?>

概要:

今日のインターネット時代において、SQL インジェクション攻撃は、セキュリティの分野で注意を払う必要があるセキュリティ問題となっています。ネットワークセキュリティー。したがって、PHP アプリケーション、特にデータベースに関係するアプリケーションの場合、アプリケーションのセキュリティを確保するには、上記の方法を明確に理解して使用することが重要です。 PHP アプリケーションを開発するときは、SQL インジェクション攻撃のリスクを常に念頭に置き、PHP フォームを正しく使用して攻撃を防止し、それによってアプリケーションのセキュリティを保護する必要があります。

以上がPHP フォームを使用して SQL インジェクション攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。