> 백엔드 개발 > PHP 튜토리얼 > SQL 주입이 POST 및 GET 요청을 넘어설 수 있습니까?

SQL 주입이 POST 및 GET 요청을 넘어설 수 있습니까?

DDD
풀어 주다: 2024-11-13 16:42:02
원래의
603명이 탐색했습니다.

Can SQL Injections Go Beyond POST and GET Requests?

SQL 주입은 POST 및 GET 요청 외에도 발생할 수 있습니까?

SQL 주입은 사용자 입력을 통합하기 전에 부적절하게 삭제하는 웹 애플리케이션의 취약점을 악용합니다. SQL 쿼리. POST 및 GET 방법이 이 공격에 대한 일반적인 방법이지만 SQL 주입은 다른 방법을 통해서도 발생할 수 있습니다.

제공된 코드에서 mysql_real_escape_string은 사용자 입력을 인코딩하는 데 사용되어 SQL 주입 위험을 완화합니다. 그러나 코드의 보안은 이 인코딩의 일관된 적용에 크게 의존합니다.

예제 코드 검토

1. POST 메서드

코드 예제는 사용자 입력으로 변수를 초기화합니다.

$name = trim($_POST['username']);
$mail = trim($_POST['email']);
$password = trim($_POST['password ']);
로그인 후 복사

사용자 정보를 데이터베이스에 저장하기 전에 적절하게 인코딩됩니다.

$sql =
"INSERT INTO
   clients
 SET
   name='" . mysql_real_escape_string($name) . "',
   mail='" . mysql_real_escape_string($mail) . "',
   password='" . mysql_real_escape_string(sha1($password)) . "'";
로그인 후 복사

2. GET 메서드

변수는 URL에서 초기화됩니다.

$videoID = trim($_GET['videoID']);
$userID = trim($_GET['userID']);
로그인 후 복사

다시 SQL 쿼리는 적절한 인코딩을 사용합니다.

$sql =
"SELECT
   videoID
 FROM
   likes
 WHERE
   videoID = '" . mysql_real_escape_string($videoID) . "' AND UID = '" . mysql_real_escape_string($userID) . "' LIMIT 1";
로그인 후 복사

결론

제공하신 코드에는 SQL 삽입이 포함되어 있지 않습니다. 사용자 입력을 인코딩하기 위해 mysql_real_escape_string을 일관되게 사용함으로써 발생하는 취약점입니다. 소스에 관계없이 모든 사용자 입력에 인코딩을 신중하게 적용해야 한다는 점에 유의해야 합니다. 보안을 더욱 강화하려면 준비된 문과 함께 PDO를 사용하는 보다 현대적인 접근 방식을 채택하는 것이 좋습니다.

위 내용은 SQL 주입이 POST 및 GET 요청을 넘어설 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿