Deutsch
Deutsch
In der PHP -Entwicklung ist die Verwendung von MySQLI zur Erweiterung des Betriebs von Datenbanken eine häufige und effiziente Weise. Insbesondere nachdem wir den Einfügungsvorgang durchgeführt haben, verwenden wir normalerweise $ mysqli-> insert_id, um die automatische Inkrement-ID des neu eingefügten Datensatzes zu erhalten. Obwohl $ Insert_id selbst keine SQL -Injektionsprobleme verursacht, ist es dennoch wichtig, die SQL -Injektion während des gesamten Einfügungsvorgangs des Datenprozesses zu verhindern.
Dieser Artikel konzentriert sich darauf, wie die Sicherheit des Einfügungsvorgangs bei Verwendung von MySQLI :: $ Insert_id gewährleistet werden kann, um den gesamten Prozess vor SQL -Injektionsangriffen zu schützen.
MySQLI :: $ Insert_id ist ein Attribut des MySQLI -Objekts, das die automatische Primär -Key -ID zurückgibt, die durch den neuesten Einfügungsvorgang generiert wird. Zum Beispiel:
<?php
$mysqli = new mysqli("gitbox.net", "user", "password", "database");
$sql = "INSERT INTO users (username, email) VALUES ('alice', '[email protected]')";
$mysqli->query($sql);
echo "Gerade Daten eingefügtIDJa:" . $mysqli->insert_id;
?>
Im obigen Beispiel gibt Insert_id die ID der eingefügten Daten zurück.
Es ist erwähnenswert, dass Insert_id ein von der Datenbank generierter numerischer Wert ist und sicher ist und nicht das Risiko einer SQL -Injektion hat. Was Sie wirklich vor der Insertion bewacht werden müssen.
Die SQL -Injektion wird normalerweise durch die direkte Eingabe der Benutzereingabe in SQL -Anweisungen verursacht, was dazu führt, dass ein böswilliger SQL -Code ausgeführt wird. Zum Beispiel:
<?php
$username = $_GET['username']; // Von Benutzereingaben
$sql = "INSERT INTO users (username) VALUES ('$username')";
$mysqli->query($sql);
?>
Wenn der Benutzer Alice eingibt '); Drop-Tabellen-Benutzer;- Es wird schwerwiegende Konsequenzen wie das Löschen der Datenbanktabelle verursachen.
Dies ist der am meisten empfohlene Weg, um die SQL -Injektion zu verhindern. MySQLI unterstützt Vorverarbeitungsanweisungen, die SQL -Anweisungen und Daten getrennt übergeben können.
Beispiel:
<?php
$mysqli = new mysqli("gitbox.net", "user", "password", "database");
// Vorbereitungsaussagen vorbereiten
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
// Binden Sie Parameter
$username = $_POST['username'];
$email = $_POST['email'];
$stmt->bind_param("ss", $username, $email);
// implementieren
$stmt->execute();
echo "Neu eingefügtIDJa:" . $mysqli->insert_id;
$stmt->close();
$mysqli->close();
?>
Hier, ? ist ein Platzhalter, und die Benutzereingabe wird nicht direkt in SQL gespleißt, und die Datenbankmotor behandelt sie als gewöhnliche Daten und vermeidet die SQL -Injektion vollständig.
Obwohl Vorverarbeitungsanweisungen das Risiko erheblich reduzieren können, ist es auch eine gute Sicherheitspraxis, die Eingabedrahme zu überprüfen. Wenn Sie beispielsweise Benutzernamen auf nur alphanumerische Einschränkungen einschränken, müssen Mailboxen dem Mailbox -Format entsprechen.
<?php
if (!preg_match('/^[a-zA-Z0-9_]{3,20}$/', $username)) {
die("Das Benutzername -Format ist falsch");
}
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
die("Das E -Mail -Format ist falsch");
}
?>
Versuchen Sie, die Benutzereingabe nicht in SQL -Anweisungszeichenfolgen zu spleißen. Wenn Sie genäht werden müssen, verwenden Sie $ mySQLI-> real_escape_string (), um zu entkommen, aber diese Methode ist nicht so sicher wie Vorverarbeitungsanweisungen.
MySQLI :: $ Insert_id ist sicher und verursacht keine SQL -Injektion.
Der Schlüssel besteht darin, die SQL -Injektion beim Einfügen von Daten zu vermeiden.
Die Verwendung von Vorverarbeitungsanweisungen ist eine bewährte Verfahren, um sich gegen die SQL -Injektion zu schützen.
Kooperieren Sie mit der Eingabeüberprüfung, um die Datensicherheit weiter zu gewährleisten.
Auf diese Weise kann es bei Verwendung von MySQLI :: $ Insert_id die Selbstverständnis-ID erhalten, aber auch die Sicherheits- und sorgenfreie Insertionsoperation sicherstellen.
