亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

首頁 資料庫 mysql教程 如何防止PHP應用中的SQL注入?

如何防止PHP應用中的SQL注入?

Jan 25, 2025 pm 10:17 PM

How Can I Prevent SQL Injection in PHP Applications?

防止PHP中的SQL注入

SQL注入是一種漏洞,當未經(jīng)修改的使用者輸入錯誤地插入SQL查詢時就會出現(xiàn)這種漏洞。這可能導致攻擊者執(zhí)行任意SQL程式碼,進而對應用程式造成災難性後果。

為了防止SQL注入,至關重要的是將資料與SQL分離,確保資料始終保持為數(shù)據(jù),而絕不會被SQL解析器解釋為命令。這可以透過使用帶有參數(shù)的預處理語句來實現(xiàn),預處理語句將SQL查詢與任何參數(shù)分開傳送到資料庫伺服器進行解析。這樣,攻擊者就無法注入惡意SQL。

有兩種方法可以實現(xiàn):

  • 使用PDO(適用於任何支援的資料庫驅(qū)動程式)
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // 處理 $row
}
  • 使用MySQLi(適用於MySQL)

PHP 8.2 :

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 處理 $row
}

PHP 8.1及更低版本:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定變量類型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 處理 $row
}

如果您連接到非MySQL資料庫,您可以參考特定於驅(qū)動程式的第二個選項(例如,PostgreSQL的pg_prepare()pg_execute())。 PDO是一個通用的選擇。

正確的連接配置

使用PDO存取MySQL資料庫時,預設不會使用真正的預處理語句。為了解決這個問題,需要停用預處理語句的模擬。以下是如何使用PDO建立連線的範例:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

對於MySQLi,需要執(zhí)行相同的操作:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 錯誤報告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 編碼

說明

您傳遞給prepare的SQL查詢由資料庫伺服器解析和編譯。透過指定參數(shù)(無論是?還是命名參數(shù),如上面的:name範例),您告訴資料庫核心您想要根據(jù)什麼進行篩選。然後,當呼叫execute時,預處理查詢會與您提供的參數(shù)值結合。

重要的是,參數(shù)值與已編譯的查詢結合,而不是與SQL字串結合。 SQL注入透過欺騙腳本,在建立要傳送到資料庫的SQL時包含惡意字串來運作。因此,透過將實際的SQL與參數(shù)分開發(fā)送,您可以降低獲得意外結果的風險。

使用預處理語句傳送的任何參數(shù)都將被簡單地視為字串(儘管資料庫核心可能會執(zhí)行一些最佳化,因此參數(shù)也可能是數(shù)字)。在上面的範例中,如果變數(shù)$name包含'Sarah'; DELETE FROM employees,結果將只是搜尋字串"'Sarah'; DELETE FROM employees ",您的表格不會被清空。

使用預處理語句的另一個優(yōu)點是,如果您在同一個會話中執(zhí)行多次相同的查詢,則只解析和編譯一次,從而提高速度。

以上是如何防止PHP應用中的SQL注入?的詳細內(nèi)容。更多資訊請關注PHP中文網(wǎng)其他相關文章!

本網(wǎng)站聲明
本文內(nèi)容由網(wǎng)友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發(fā)現(xiàn)涉嫌抄襲或侵權的內(nèi)容,請聯(lián)絡admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅(qū)動的應用程序,用於創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

建立與MySQL Server的安全遠程連接 建立與MySQL Server的安全遠程連接 Jul 04, 2025 am 01:44 AM

TosecurelyConnectToaremoteMysqlServer,Usesshtunneling,configuremysqlforremoteaccess,setFireWallrules,andConsidersSlencryption 。首先,stardansshtunnelwithssh-l3307:localhost:3306user@remote-Server-server-nandConnectViamySql-h127.0.0.0.0.1-p3307.second,editmys

了解外鍵在MySQL數(shù)據(jù)完整性中的作用 了解外鍵在MySQL數(shù)據(jù)完整性中的作用 Jul 03, 2025 am 02:34 AM

ForeignkeysinMySQLensuredataintegritybyenforcingrelationshipsbetweentables.Theypreventorphanedrecords,restrictinvaliddataentry,andcancascadechangesautomatically.BothtablesmustusetheInnoDBstorageengine,andforeignkeycolumnsmustmatchthedatatypeoftherefe

使用mySQL中的mysqldump執(zhí)行邏輯備份 使用mySQL中的mysqldump執(zhí)行邏輯備份 Jul 06, 2025 am 02:55 AM

mysqldump是用於執(zhí)行MySQL數(shù)據(jù)庫邏輯備份的常用工具,它生成包含CREATE和INSERT語句的SQL文件以重建數(shù)據(jù)庫。 1.它不備份原始文件,而是將數(shù)據(jù)庫結構和內(nèi)容轉(zhuǎn)換為可移植的SQL命令;2.適用於小型數(shù)據(jù)庫或選擇性恢復,不適合TB級數(shù)據(jù)快速恢復;3.常用選項包括--single-transaction、--databases、--all-databases、--routines等;4.恢復時使用mysql命令導入,並可關閉外鍵檢查以提升速度;5.建議定期測試備份、使用壓縮、自動化調(diào)

分析MySQL緩慢查詢?nèi)照I以查找性能瓶頸 分析MySQL緩慢查詢?nèi)照I以查找性能瓶頸 Jul 04, 2025 am 02:46 AM

開啟MySQL慢查詢?nèi)罩静⒎治隹啥ㄎ恍阅軉栴}。1.編輯配置文件或動態(tài)設置slow_query_log和long_query_time;2.日志包含Query_time、Lock_time、Rows_examined等關鍵字段,輔助判斷效率瓶頸;3.使用mysqldumpslow或pt-query-digest工具高效分析日志;4.優(yōu)化建議包括添加索引、避免SELECT*、拆分復雜查詢等。例如為user_id加索引能顯著減少掃描行數(shù),提升查詢效率。

在MySQL列和查詢中處理零值 在MySQL列和查詢中處理零值 Jul 05, 2025 am 02:46 AM

處理MySQL中的NULL值需注意:1.設計表時關鍵字段設為NOTNULL,可選字段允許NULL;2.查詢判斷必須用ISNULL或ISNOTNULL,不能用=或!=;3.可用IFNULL或COALESCE函數(shù)替換顯示默認值;4.插入或更新時直接使用NULL值需謹慎,注意數(shù)據(jù)源和ORM框架處理方式。 NULL表示未知值,不等於任何值,包括自身,因此查詢、統(tǒng)計、連接表時要特別小心,避免漏數(shù)據(jù)或邏輯錯誤。合理使用函數(shù)和約束可以有效減少因NULL帶來的干擾。

重置MySQL Server的root密碼 重置MySQL Server的root密碼 Jul 03, 2025 am 02:32 AM

要重置MySQL的root密碼,請按以下步驟操作:1.停止MySQL服務器,使用sudosystemctlstopmysql或sudosystemctlstopmysqld;2.以--skip-grant-tables模式啟動MySQL,執(zhí)行sudomysqld--skip-grant-tables&;3.登錄MySQL並根據(jù)版本執(zhí)行相應的SQL命令修改密碼,如FLUSHPRIVILEGES;ALTERUSER'root'@'localhost'IDENTIFIEDBY'your_new

計算MySQL中的數(shù)據(jù)庫和表尺寸 計算MySQL中的數(shù)據(jù)庫和表尺寸 Jul 06, 2025 am 02:41 AM

要查看MySQL數(shù)據(jù)庫和表的大小,可直接查詢information_schema或使用命令行工具。 1.查看整個數(shù)據(jù)庫大?。簣?zhí)行SQL語句SELECTtable_schemaAS'Database',SUM(data_length index_length)/1024/1024AS'Size(MB)'FROMinformation_schema.tablesGROUPBYtable_schema;可獲取所有數(shù)據(jù)庫的總大小,也可加WHERE條件限定具體數(shù)據(jù)庫;2.查看單個表大?。和ㄟ^SELECTta

處理MySQL中的角色集和校正問題 處理MySQL中的角色集和校正問題 Jul 08, 2025 am 02:51 AM

字符集和排序規(guī)則問題常見於跨平臺遷移或多人開發(fā)時,導致亂碼或查詢不一致。核心解決方法有三:一要檢查並統(tǒng)一數(shù)據(jù)庫、表、字段的字符集為utf8mb4,通過SHOWCREATEDATABASE/TABLE查看,用ALTER語句修改;二要在客戶端連接時指定utf8mb4字符集,在連接參數(shù)或執(zhí)行SETNAMES中設置;三要合理選擇排序規(guī)則,推薦使用utf8mb4_unicode_ci以確保比較和排序準確性,並在建庫建表時指定或通過ALTER修改。

See all articles