国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

首頁 資料庫 mysql教程 如何防止PHP應用中的SQL注入?

如何防止PHP應用中的SQL注入?

Jan 25, 2025 pm 10:17 PM

How Can I Prevent SQL Injection in PHP Applications?

防止PHP中的SQL注入

SQL注入是一種漏洞,當未經(jīng)修改的使用者輸入錯誤地插入SQL查詢時就會出現(xiàn)這種漏洞。這可能導致攻擊者執(zhí)行任意SQL程式碼,進而對應用程式造成災難性後果。

為了防止SQL注入,至關重要的是將資料與SQL分離,確保資料始終保持為數(shù)據(jù),而絕不會被SQL解析器解釋為命令。這可以透過使用帶有參數(shù)的預處理語句來實現(xiàn),預處理語句將SQL查詢與任何參數(shù)分開傳送到資料庫伺服器進行解析。這樣,攻擊者就無法注入惡意SQL。

有兩種方法可以實現(xiàn):

  • 使用PDO(適用於任何支援的資料庫驅(qū)動程式)
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // 處理 $row
}
  • 使用MySQLi(適用於MySQL)

PHP 8.2 :

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // 處理 $row
}

PHP 8.1及更低版本:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' 指定變量類型 -> 'string'
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // 處理 $row
}

如果您連接到非MySQL資料庫,您可以參考特定於驅(qū)動程式的第二個選項(例如,PostgreSQL的pg_prepare()pg_execute())。 PDO是一個通用的選擇。

正確的連接配置

使用PDO存取MySQL資料庫時,預設不會使用真正的預處理語句。為了解決這個問題,需要停用預處理語句的模擬。以下是如何使用PDO建立連線的範例:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

對於MySQLi,需要執(zhí)行相同的操作:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // 錯誤報告
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // 編碼

說明

您傳遞給prepare的SQL查詢由資料庫伺服器解析和編譯。透過指定參數(shù)(無論是?還是命名參數(shù),如上面的:name範例),您告訴資料庫核心您想要根據(jù)什麼進行篩選。然後,當呼叫execute時,預處理查詢會與您提供的參數(shù)值結(jié)合。

重要的是,參數(shù)值與已編譯的查詢結(jié)合,而不是與SQL字串結(jié)合。 SQL注入透過欺騙腳本,在建立要傳送到資料庫的SQL時包含惡意字串來運作。因此,透過將實際的SQL與參數(shù)分開發(fā)送,您可以降低獲得意外結(jié)果的風險。

使用預處理語句傳送的任何參數(shù)都將被簡單地視為字串(儘管資料庫核心可能會執(zhí)行一些最佳化,因此參數(shù)也可能是數(shù)字)。在上面的範例中,如果變數(shù)$name包含'Sarah'; DELETE FROM employees,結(jié)果將只是搜尋字串"'Sarah'; DELETE FROM employees ",您的表格不會被清空。

使用預處理語句的另一個優(yōu)點是,如果您在同一個會話中執(zhí)行多次相同的查詢,則只解析和編譯一次,從而提高速度。

以上是如何防止PHP應用中的SQL注入?的詳細內(nèi)容。更多資訊請關注PHP中文網(wǎng)其他相關文章!

本網(wǎng)站聲明
本文內(nèi)容由網(wǎng)友自願投稿,版權(quán)歸原作者所有。本站不承擔相應的法律責任。如發(fā)現(xiàn)涉嫌抄襲或侵權(quán)的內(nèi)容,請聯(lián)絡admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅(qū)動的應用程序,用於創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

什麼是GTID(全球交易標識符),其優(yōu)勢是什麼? 什麼是GTID(全球交易標識符),其優(yōu)勢是什麼? Jun 19, 2025 am 01:03 AM

GTID(全局事務標識符)通過為每個事務分配唯一標識,解決了MySQL數(shù)據(jù)庫中復制和故障轉(zhuǎn)移的復雜性。1.它簡化了復制管理,自動處理日志文件和位置,使從服務器能基于最后執(zhí)行的GTID請求事務。2.保證跨服務器的一致性,確保每個事務在每臺服務器上僅應用一次,避免數(shù)據(jù)不一致。3.提升故障排查效率,GTID包含服務器UUID和序列號,便于追蹤事務流并精準定位問題。這三項核心優(yōu)勢使MySQL復制更穩(wěn)健、易管,顯著提升系統(tǒng)可靠性與數(shù)據(jù)完整性。

MySQL Master故障轉(zhuǎn)移的典型過程是什麼? MySQL Master故障轉(zhuǎn)移的典型過程是什麼? Jun 19, 2025 am 01:06 AM

MySQL主庫故障切換主要包括四個步驟。 1.故障檢測:通過監(jiān)控系統(tǒng)定期檢查主庫進程、連接狀態(tài)及執(zhí)行簡單查詢判斷是否宕機,設置重試機制避免誤判,並可藉助MHA、Orchestrator或Keepalived等工具輔助檢測;2.選擇新主庫:根據(jù)數(shù)據(jù)同步進度(Seconds_Behind_Master)、binlog數(shù)據(jù)完整性、網(wǎng)絡延遲與負載情況選取最合適從庫接替,必要時進行數(shù)據(jù)補償或人工干預;3.切換拓撲:將其他從庫指向新主庫,執(zhí)行RESETMASTER或啟用GTID,更新VIP、DNS或代理配置以

如何使用命令行連接到MySQL數(shù)據(jù)庫? 如何使用命令行連接到MySQL數(shù)據(jù)庫? Jun 19, 2025 am 01:05 AM

連接MySQL數(shù)據(jù)庫的步驟如下:1.使用基本命令格式mysql-u用戶名-p-h主機地址進行連接,輸入用戶名和密碼後即可登錄;2.若需直接進入指定數(shù)據(jù)庫,可在命令後加上數(shù)據(jù)庫名,如mysql-uroot-pmyproject;3.若端口非默認3306,需添加-P參數(shù)指定端口號,如mysql-uroot-p-h192.168.1.100-P3307;此外,遇到密碼錯誤可重新輸入,連接失敗需檢查網(wǎng)絡、防火牆或權(quán)限設置,若缺少客戶端可在Linux上通過包管理器安裝mysql-client。掌握這些命令

如何在不鎖定的情況下更改大桌子(在線DDL)? 如何在不鎖定的情況下更改大桌子(在線DDL)? Jun 14, 2025 am 12:36 AM

Toalteralargeproductiontablewithoutlonglocks,useonlineDDLtechniques.1)IdentifyifyourALTERoperationisfast(e.g.,adding/droppingcolumns,modifyingNULL/NOTNULL)orslow(e.g.,changingdatatypes,reorderingcolumns,addingindexesonlargedata).2)Usedatabase-specifi

InnoDB如何實現(xiàn)可重複的讀取級別? InnoDB如何實現(xiàn)可重複的讀取級別? Jun 14, 2025 am 12:33 AM

InnoDB實現(xiàn)可重複讀是通過MVCC和間隙鎖。 MVCC通過快照實現(xiàn)一致性讀,事務多次查詢結(jié)果不變;間隙鎖防止其他事務插入數(shù)據(jù),避免幻讀。例如,事務A首次查詢得到值100,事務B修改為200並提交後,A再次查詢?nèi)詾?00;而執(zhí)行範圍查詢時,間隙鎖阻止其他事務插入記錄。此外,非唯一索引掃描可能默認加間隙鎖,主鍵或唯一索引等值查詢則可能不加,可通過降低隔離級別或顯式鎖控制取消間隙鎖。

為什麼索引可以提高MySQL查詢速度? 為什麼索引可以提高MySQL查詢速度? Jun 19, 2025 am 01:05 AM

IndexesinMySQLimprovequeryspeedbyenablingfasterdataretrieval.1.Theyreducedatascanned,allowingMySQLtoquicklylocaterelevantrowsinWHEREorORDERBYclauses,especiallyimportantforlargeorfrequentlyqueriedtables.2.Theyspeedupjoinsandsorting,makingJOINoperation

MySQL中的交易隔離級別是多少?默認值是哪個? MySQL中的交易隔離級別是多少?默認值是哪個? Jun 23, 2025 pm 03:05 PM

MySQL的默認事務隔離級別是可重複讀(RepeatableRead),它通過MVCC和間隙鎖防止臟讀和不可重複讀,並在大多數(shù)情況下避免幻讀;其他主要級別包括讀未提交(ReadUncommitted),允許臟讀但性能最快,1.讀已提交(ReadCommitted)確保讀取已提交數(shù)據(jù)但可能遇到不可重複讀和幻讀,2.可重複讀(RepeatableRead)默認級別,保證事務內(nèi)多次讀取結(jié)果一致,3.串行化(Serializable)最高級別,通過鎖阻止其他事務修改數(shù)據(jù),確保數(shù)據(jù)完整性但犧牲性能;可通過

MySQL交易的酸特性是什麼? MySQL交易的酸特性是什麼? Jun 20, 2025 am 01:06 AM

MySQL事務遵循ACID特性,確保數(shù)據(jù)庫事務的可靠性和一致性。首先,原子性(Atomicity)保證事務作為不可分割的整體執(zhí)行,要么全部成功,要么全部失敗回滾,例如轉(zhuǎn)賬操作中取款和存款必須同時完成或同時不發(fā)生;其次,一致性(Consistency)確保事務將數(shù)據(jù)庫從一個有效狀態(tài)轉(zhuǎn)換到另一個有效狀態(tài),通過約束、觸發(fā)器等機制保持數(shù)據(jù)邏輯正確;第三,隔離性(Isolation)控制多個事務並發(fā)執(zhí)行時的可見性,防止臟讀、不可重複讀和幻讀,MySQL支持ReadUncommitted、ReadCommi

See all articles