SQL注入是一個(gè)安全漏洞，攻擊者將惡意SQL代碼注入輸入字段，從而導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)或數(shù)據(jù)盜竊。當(dāng)將用戶輸入直接連接到SQL查詢中而無(wú)需驗(yàn)證或消毒時(shí)，就會(huì)發(fā)生這種情況。為了防止使用MySQL中的PHP注入SQL：1）使用PDO或MySQLI準(zhǔn)備的準(zhǔn)備語(yǔ)句將SQL邏輯與數(shù)據(jù)分開； 2）驗(yàn)證和消毒所有輸入，例如檢查電子郵件或鑄造號(hào)碼； 3）避免棄用MySQL_*功能，並使用PDO或Mysqli等現(xiàn)代替代方案； 4）設(shè)置適當(dāng)?shù)臄?shù)據(jù)庫(kù)權(quán)限以限制損害潛力。

SQL注入是一種安全漏洞，攻擊者可以將惡意SQL代碼注入輸入字段，例如登錄表單或搜索框，然後由數(shù)據(jù)庫(kù)執(zhí)行。這可能會(huì)導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)，數(shù)據(jù)盜竊甚至整個(gè)數(shù)據(jù)庫(kù)的刪除。

在PHP和MySQL設(shè)置中，這通常會(huì)發(fā)生在用戶輸入直接連接到SQL查詢的情況下，而無(wú)需正確驗(yàn)證或消毒。

SQL注射攻擊是什麼樣的？

假設(shè)您在PHP中有一個(gè)簡(jiǎn)單的登錄查詢：

 $ query =“從用戶中select * select * username ='”。 $ _post ['username']。 “'和密碼='”。 $ _post ['password']。 “'”;

攻擊者可以在用戶名字段中輸入' OR '1'='1之類的東西。由此產(chǎn)生的查詢變?yōu)椋?/p>

從用戶中選擇 *用戶名=''或'1'='1'和password =''

由於'1'='1'始終是正確的，因此攻擊者可以完全繞過(guò)身份驗(yàn)證。

這只是一個(gè)基本示例 - 真正的攻擊可能會(huì)更加複雜和破壞。

如何防止使用MySQL在PHP中註入SQL

使用準(zhǔn)備好的語(yǔ)句（參數(shù)化查詢）

防止SQL注入的最有效方法是使用PDO或MySQLI準(zhǔn)備的陳述。來(lái)自數(shù)據(jù)的這些獨(dú)立的SQL邏輯，因此用戶輸入永遠(yuǎn)不會(huì)被視為可執(zhí)行代碼。

這是PDO的外觀：

 $ stmt = $ pDO->準(zhǔn)備（“從用戶中選擇 * username =？and password =？”）;
$ stmt->執(zhí)行（[$ _ post ['username']，$ _post ['password']]）;
$ user = $ stmt-> fetch（）;

並與mysqli：

 $ stmt = $ mysqli->準(zhǔn)備（“從用戶select * select * userName =？and password =？”）;
$ stmt-> bind_param（“ ss”，$ _post ['用戶名']，$ _post ['password']）;
$ stmt-> execute（）;
$ result = $ stmt-> get_result（）;

這些方法確保將任何輸入嚴(yán)格視為數(shù)據(jù)，而不是可執(zhí)行的SQL。

驗(yàn)證和消毒所有投入

即使有了準(zhǔn)備好的陳述，驗(yàn)證和消毒意見(jiàn)仍然是一個(gè)很好的做法。

• 如果您期望一個(gè)電子郵件地址，請(qǐng)使用filter_var($email, FILTER_VALIDATE_EMAIL)進(jìn)行檢查
• 如果期望一個(gè)數(shù)字，請(qǐng)施放： (int)$input或使用is_numeric()
• 對(duì)於字符串，考慮修剪空格或限制長(zhǎng)度

消毒有助於儘早獲取不良數(shù)據(jù)，並增加了另一層防禦。

不要依賴諸如mysql_*之類的棄用功能

如果您仍在使用舊的mysql_query()函數(shù)，請(qǐng)立即停止。它不支持準(zhǔn)備好的語(yǔ)句，並且易受設(shè)計(jì)的影響。 PHP已從版本7.0開始完全刪除。改用PDO或Mysqli 。

設(shè)置正確的數(shù)據(jù)庫(kù)權(quán)限

不要為您的應(yīng)用程序數(shù)據(jù)庫(kù)用戶提供比所需的更多特權(quán)。例如，如果您的應(yīng)用只需要讀寫某些表，請(qǐng)不要授予其刪除或刪除權(quán)利。

這限制了攻擊者即使設(shè)法注入某些東西也可以造成的損害。

是的，SQL注射是嚴(yán)重的，但可以預(yù)防。堅(jiān)持準(zhǔn)備的語(yǔ)句，謹(jǐn)慎對(duì)待所有輸入，並保持代碼更新?；旧?，這就是您將PHP和MySQL應(yīng)用程序免於這種威脅的方式。

以上是什麼是SQL注入以及如何在PHP MySQL中預(yù)防它的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！