Bagaimana untuk menghalang suntikan SQL dalam PHP?
P粉022723606
P粉022723606 2023-08-23 12:44:04
0
2
470

Jika input pengguna dimasukkan ke dalam pertanyaan SQL tanpa pengubahsuaian, aplikasi terdedah kepada suntikan SQL, seperti dalam contoh berikut:

$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) NILAI ('$unsafe_variable')"); 

Ini kerana pengguna boleh memasukkan sesuatu seperti value');

INSERT IN TO `table` (`column`) NILAI('value'); 

Apakah yang boleh dilakukan untuk mengelakkan perkara ini daripada berlaku?

P粉022723606
P粉022723606

membalas semua (2)
P粉466643318

Untuk menggunakan pertanyaan berparameter, anda perlu menggunakan Mysqli atau PDO. Untuk menulis semula contoh anda menggunakan mysqli kami memerlukan perkara berikut.

prepare("INSERT INTO table (column) VALUES (?)"); // "s" means the database expects a string $stmt->bind_param("s", $variable); $stmt->execute();

Fungsi utama yang anda perlu baca ialahmysqli::prepare.

Selain itu, seperti yang dicadangkan oleh orang lain, anda mungkin mendapati menggunakan sesuatu sepertiPDO.

Sila ambil perhatian bahawa kes yang anda tanyakan adalah agak mudah, kes yang lebih kompleks mungkin memerlukan kaedah yang lebih canggih. Terutamanya:

  • Jika anda ingin menukar struktur SQL berdasarkan input pengguna, pertanyaan berparameter tidak akan membantu danmysql_real_escape_stringmysql_real_escape_string tidak mengandungi pelarian yang diperlukan. Dalam kes ini, lebih baik anda menghantar input pengguna melalui senarai putih untuk memastikan hanya nilai "selamat" dibenarkan.
    P粉985686557

    Tidak kira pangkalan data yang anda gunakan, cara yangbetuluntuk mengelakkan serangan suntikan SQL adalah denganmengasingkan data daripada SQLsupaya data masih menjadi data dan>tidak pernah ditafsirkan sebagai arahan oleh penghurai SQL. Anda boleh membuat pernyataan SQL menggunakan bahagian data yang diformat dengan betul, tetapi jika andasepenuhnyamemahami butirannya, anda harus sentiasamenggunakan pernyataan yang disediakan dan pertanyaan berparameter.ialah pernyataan SQL yang dihantar dan dihuraikan oleh pelayan pangkalan data secara berasingan daripada sebarang parameter. Dengan cara ini adalah mustahil bagi penyerang untuk menyuntik SQL berniat jahat.

    Anda pada asasnya mempunyai dua pilihan untuk mencapai ini:

    1. GunakanPDO(untuk mana-mana pemacu pangkalan data yang disokong):

      $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute([ 'name' => $name ]); foreach ($stmt as $row) { // Do something with $row }
    2. GunakanMySQLi(untuk MySQL):
      Bermula dari PHP 8.2+, kita boleh menggunakanexecute_query()untuk menyediakan, mengikat parameter dan melaksanakan pernyataan SQL dalam satu kaedah:

      $result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]); while ($row = $result->fetch_assoc()) { // Do something with $row }

      Sehingga PHP8.1:

      $stmt = $db->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); // 's' specifies the variable type => 'string' $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // Do something with $row }

    Jika anda menyambung ke pangkalan data selain MySQL, anda boleh merujuk kepada pilihan khusus pemacu kedua (cth.,pg_prepare()pg_prepare()dan pg_execute()

    untuk PostgreSQL). PDO ialah pilihan universal.

    Sediakan sambungan dengan betul

    PDO

    Sila ambil perhatian bahawa apabila menggunakanPDOuntuk mengakses pangkalan data MySQL,sebenarpenyata yang disediakantidak digunakan secara lalai. Untuk menyelesaikan isu ini, anda mesti melumpuhkan simulasi kenyataan yang disediakan. Contoh mencipta sambungan menggunakanPDO

    ialah:

    $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    Dalam contoh di atas, mod ralat tidak begitu diperlukan,tetapi disyorkan untuk menambahnya PDOException. Dengan cara ini, PDO akan memberitahu anda tentang semua ralat MySQL dengan membuang PDOException

    .Walau bagaimanapun,setAttribute()memaksaialah barissetAttribute()

    yang pertama, yang memberitahu PDO untuk melumpuhkan kenyataan simulasi yang disediakan dan menggunakan pernyataan kenyataan yang disediakan

    sebenar字符集. Ini memastikan pernyataan dan nilai tidak dihuraikan oleh PHP sebelum dihantar ke pelayan MySQL (memberi peluang kepada bakal penyerang untuk menyuntik SQL yang berniat jahat).Walaupun anda boleh menetapkan

    charset

    dalam pilihan pembina, adalah penting untuk ambil perhatian bahawa versi "lama" PHP (sebelum 5.3.6)

    abaikan parameter charset secara senyap

    dalam DSN.

    Mysqli Untuk mysqli kita kena ikut rutin yang sama:
    mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // error reporting $dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test'); $dbConnection->set_charset('utf8mb4'); // charset

    Arahan

    Apabila anda lulusprepare的SQL语句由数据库服务器解析和编译。通过指定参数(?或命名参数,如上例中的:name),您可以告诉数据库引擎您要过滤的位置。然后,当您调用execute, pernyataan yang disediakan akan digabungkan dengan nilai parameter yang anda tentukan.

    Perkara penting di sini ialah nilai parameter digabungkan dengan pernyataan yang disusun, bukan rentetan SQL. Suntikan SQL berfungsi dengan menipu skrip supaya mengandungi rentetan berniat jahat apabila ia mencipta SQL untuk dihantar ke pangkalan data. Jadi dengan menghantar SQL sebenar secara berasingan daripada parameter, anda mengehadkan risiko berakhir dengan sesuatu yang tidak dijangka.

    Sebarang parameter yang anda hantar apabila menggunakan penyata yang disediakan akan dianggap sebagai rentetan (walaupun enjin pangkalan data mungkin melakukan beberapa pengoptimuman, jadi parameter sudah tentu akan dianggap sebagai nombor juga). Dalam contoh di atas, jika$name变量包含'Sarah'; DELETE FROMEmployees结果只是搜索字符串"'Sarah'; DELETE FROMEmployees", dan anda tidak akan mendapatmeja kosong.

    Faedah lain menggunakan pernyataan yang disediakan ialah jika anda melaksanakan pernyataan yang sama beberapa kali dalam sesi yang sama, ia hanya akan dihuraikan dan disusun sekali, sekali gus meningkatkan kelajuan.

    Oh, kerana anda bertanya bagaimana untuk membuat sisipan, berikut adalah contoh (menggunakan PDO):

    $preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)'); $preparedStatement->execute([ 'column' => $unsafeValue ]);

    Bolehkah pernyataan yang disediakan digunakan untuk pertanyaan dinamik?

    Walaupun anda masih boleh menggunakan pernyataan yang disediakan dengan parameter pertanyaan, struktur pertanyaan dinamik itu sendiri tidak boleh diparameterkan dan fungsi pertanyaan tertentu juga tidak boleh diparameterkan.

    Untuk senario khusus ini, perkara terbaik untuk dilakukan ialah menggunakan penapis senarai putih untuk mengehadkan nilai yang mungkin.

    // Value whitelist // $dir can only be 'DESC', otherwise it will be 'ASC' if (empty($dir) || $dir !== 'DESC') { $dir = 'ASC'; }
      Muat turun terkini
      Lagi>
      kesan web
      Kod sumber laman web
      Bahan laman web
      Templat hujung hadapan
      Tentang kita Penafian Sitemap
      Laman web PHP Cina:Latihan PHP dalam talian kebajikan awam,Bantu pelajar PHP berkembang dengan cepat!