pangkalan data
tutorial mysql
Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Aplikasi PHP?
Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Aplikasi PHP?
Jan 25, 2025 pm 10:17 PM
Halang suntikan SQL dalam PHP
Suntikan SQL ialah kelemahan yang berlaku apabila input pengguna yang tidak diubah suai dimasukkan dengan salah ke dalam pertanyaan SQL. Ini boleh membenarkan penyerang untuk melaksanakan kod SQL sewenang-wenangnya, menyebabkan akibat bencana kepada aplikasi.
Untuk mengelakkan suntikan SQL, adalah penting untuk memisahkan data daripada SQL, memastikan data sentiasa kekal sebagai data dan tidak pernah ditafsirkan sebagai arahan oleh penghurai SQL. Ini boleh dicapai dengan menggunakan pernyataan yang disediakan dengan parameter, yang menghantar pertanyaan SQL ke pelayan pangkalan data untuk menghuraikan secara berasingan daripada mana-mana parameter. Dengan cara ini, penyerang tidak boleh menyuntik SQL berniat jahat.
Terdapat dua cara untuk mencapai ini:
- Gunakan PDO (berfungsi dengan mana-mana pemacu pangkalan data yang disokong)
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);
foreach ($stmt as $row) {
// 處理 $row
}
- Menggunakan MySQLi (untuk MySQL)
PHP 8.2:
$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
// 處理 $row
}
PHP 8.1 dan ke bawah:
$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定變量類型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// 處理 $row
}
Jika anda menyambung ke pangkalan data bukan MySQL, anda boleh merujuk kepada pilihan khusus pemacu kedua (cth., PostgreSQL pg_prepare() dan pg_execute()). PDO adalah pilihan sejagat.
Konfigurasi sambungan yang betul
Apabila menggunakan PDO untuk mengakses pangkalan data MySQL, kenyataan sebenar yang disediakan tidak digunakan secara lalai. Untuk menyelesaikan masalah ini, anda perlu melumpuhkan simulasi kenyataan yang disediakan. Berikut ialah contoh cara membuat sambungan menggunakan PDO:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
Untuk MySQLi, operasi yang sama perlu dilakukan:
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 錯(cuò)誤報(bào)告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 編碼
Penerangan
Pertanyaan SQL yang anda hantar ke prepare dihuraikan dan disusun oleh pelayan pangkalan data. Dengan menentukan parameter (sama ada ? atau parameter bernama, seperti contoh :name di atas), anda memberitahu kernel pangkalan data perkara yang anda ingin tapis berdasarkan. Kemudian, apabila execute dipanggil, pertanyaan praproses digabungkan dengan nilai parameter yang anda berikan.
Adalah penting bahawa nilai parameter digabungkan dengan pertanyaan yang disusun dan bukan dengan rentetan SQL. Suntikan SQL berfungsi dengan menipu skrip untuk memasukkan rentetan berniat jahat apabila mencipta SQL untuk dihantar ke pangkalan data. Jadi dengan menghantar SQL sebenar secara berasingan daripada parameter, anda mengurangkan risiko mendapat hasil yang tidak dijangka.
Sebarang parameter yang dihantar menggunakan pernyataan yang disediakan akan dianggap hanya sebagai rentetan (walaupun kernel pangkalan data mungkin melakukan beberapa pengoptimuman jadi parameter juga mungkin nombor). Dalam contoh di atas, jika pembolehubah $name mengandungi 'Sarah'; DELETE FROM employees, hasilnya hanya akan menjadi rentetan carian "'Sarah'; DELETE FROM employees " dan jadual anda tidak akan dikosongkan.
Satu lagi kelebihan menggunakan pernyataan yang disediakan ialah jika anda melaksanakan pertanyaan yang sama beberapa kali dalam sesi yang sama, ia hanya dihuraikan dan disusun sekali, sekali gus meningkatkan kelajuan.
Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Mencegah Suntikan SQL dalam Aplikasi PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Mewujudkan sambungan jauh yang selamat ke pelayan MySQL
Jul 04, 2025 am 01:44 AM
TosecurelyConnecttoaremotemysqlserver, usesshtunneling, configuremysqlforremoteaccess, setfirewallrules, andconsidersslencryption .First, DesiglishansshtunnelWithSSH-L3307: localhost: 3306user@remote-server-nandconnectviamysql-h127.0.0.1-p3307.second, editmys
Menganalisis log pertanyaan perlahan MySQL untuk mencari kemunculan prestasi
Jul 04, 2025 am 02:46 AM
Hidupkan log pertanyaan perlahan MySQL dan menganalisis isu prestasi lokasi. 1. Edit fail konfigurasi atau ditetapkan secara dinamik SLOW_QUERY_LOG dan LONG_QUERY_TIME; 2. Log mengandungi medan utama seperti query_time, lock_time, rows_examined untuk membantu menilai kesesakan kecekapan; 3. Gunakan alat mysqldumpslow atau pt-query-digest untuk menganalisis log dengan cekap; 4. Cadangan pengoptimuman termasuk menambah indeks, mengelakkan pilih*, memisahkan pertanyaan kompleks, dan lain -lain. Sebagai contoh, menambah indeks ke user_id dapat mengurangkan jumlah baris yang diimbas dan meningkatkan kecekapan pertanyaan.
Melakukan sandaran logik menggunakan mysqldump di mysql
Jul 06, 2025 am 02:55 AM
MySQLDUMP adalah alat yang biasa untuk melakukan sandaran logik pangkalan data MySQL. Ia menjana fail SQL yang mengandungi penyataan CREATE dan INSERT untuk membina semula pangkalan data. 1. Ia tidak menyandarkan fail asal, tetapi menukarkan struktur dan kandungan pangkalan data ke dalam arahan SQL mudah alih; 2. Ia sesuai untuk pangkalan data kecil atau pemulihan selektif, dan tidak sesuai untuk pemulihan data tahap TB yang cepat; 3. Pilihan biasa termasuk--single-transaksi,-databases,-semua data,-routin, dan sebagainya; 4. Gunakan perintah MySQL untuk mengimport semasa pemulihan, dan boleh mematikan cek utama asing untuk meningkatkan kelajuan; 5. Adalah disyorkan untuk menguji sandaran secara teratur, menggunakan mampatan, dan pelarasan automatik.
Mengendalikan nilai null dalam lajur dan pertanyaan MySQL
Jul 05, 2025 am 02:46 AM
Apabila mengendalikan nilai null dalam MySQL, sila ambil perhatian: 1. Apabila mereka bentuk jadual, medan utama ditetapkan kepada notnull, dan bidang pilihan dibenarkan NULL; 2. Isnull atau Isnotnull mesti digunakan dengan = atau! =; 3. Fungsi Ifnull atau Coalesce boleh digunakan untuk menggantikan nilai lalai paparan; 4. Berhati -hati apabila menggunakan nilai null secara langsung apabila memasukkan atau mengemas kini, dan perhatikan sumber data dan kaedah pemprosesan rangka kerja ORM. Null mewakili nilai yang tidak diketahui dan tidak sama dengan nilai, termasuk dirinya sendiri. Oleh itu, berhati -hati apabila menanyakan, menghitung, dan menghubungkan jadual untuk mengelakkan data yang hilang atau kesilapan logik. Penggunaan fungsi dan kekangan yang rasional dapat mengurangkan gangguan yang disebabkan oleh null.
Mengira Pangkalan Data dan Saiz Jadual di MySQL
Jul 06, 2025 am 02:41 AM
Untuk melihat saiz pangkalan data dan jadual MySQL, anda boleh menanyakan maklumat_schema secara langsung atau gunakan alat baris arahan. 1. Semak keseluruhan saiz pangkalan data: Laksanakan pernyataan SQL selecttable_schemaas'database ', jumlah (data_length index_length)/1024/1024as'size (mb)' dari formation_schema.tablesgroupbytable_schema; Anda boleh mendapatkan saiz keseluruhan semua pangkalan data, atau menambah di mana syarat untuk mengehadkan pangkalan data tertentu; 2. Periksa saiz jadual tunggal: gunakan selectta
Mengendalikan set watak dan isu pengumpulan di MySQL
Jul 08, 2025 am 02:51 AM
Peraturan Peraturan dan Penyortiran Isu-isu adalah perkara biasa apabila penghijrahan silang platform atau pembangunan berbilang orang, mengakibatkan kod yang tidak konsisten atau pertanyaan yang tidak konsisten. Terdapat tiga penyelesaian teras: pertama, periksa dan menyatukan set aksara pangkalan data, jadual, dan medan ke UTF8MB4, melihat melalui showcreatedatabase/jadual, dan mengubahnya dengan pernyataan alter; kedua, tentukan set aksara UTF8MB4 apabila pelanggan menghubungkan, dan tetapkannya dalam parameter sambungan atau laksanakan setnames; Ketiga, pilih peraturan penyortiran yang munasabah, dan cadangkan menggunakan UTF8MB4_UNICODE_CI untuk memastikan ketepatan perbandingan dan penyortiran, dan tentukan atau mengubahnya melalui Alter ketika membina perpustakaan dan jadual.
Mengagregatkan data dengan kumpulan oleh dan mempunyai klausa di MySQL
Jul 05, 2025 am 02:42 AM
GroupBy digunakan untuk mengumpulkan data mengikut bidang dan melakukan operasi agregasi, dan mempunyai digunakan untuk menapis hasil selepas pengelompokan. Sebagai contoh, menggunakan GroupByCustomer_ID boleh mengira jumlah jumlah penggunaan setiap pelanggan; Menggunakan mempunyai dapat menyaring pelanggan dengan jumlah penggunaan lebih dari 1,000. Bidang yang tidak diagihkan selepas PILIH mesti muncul di GroupBy, dan mempunyai boleh ditapis secara kondusif menggunakan alias atau ungkapan asal. Teknik biasa termasuk mengira bilangan setiap kumpulan, mengumpulkan pelbagai bidang, dan penapisan dengan pelbagai syarat.
Melaksanakan urus niaga dan memahami sifat asid di MySQL
Jul 08, 2025 am 02:50 AM
MySQL menyokong pemprosesan transaksi, dan menggunakan enjin penyimpanan InnoDB untuk memastikan konsistensi dan integriti data. 1. Urus niaga adalah satu set operasi SQL, sama ada semua berjaya atau semua gagal melancarkan kembali; 2. Atribut asid termasuk atom, konsistensi, pengasingan dan kegigihan; 3. Kenyataan yang mengawal urus niaga secara manual adalah permulaan, komitmen dan pengembalian; 4. Empat tahap pengasingan termasuk Read Not Committe, Read Dihantar, Baca Berulang dan Serialization; 5. Gunakan urus niaga dengan betul untuk mengelakkan operasi jangka panjang, matikan komitmen automatik, dan mengendalikan kunci dan pengecualian yang munasabah. Melalui mekanisme ini, MySQL dapat mencapai kebolehpercayaan yang tinggi dan kawalan serentak.
