Deutsch
Deutsch
Die SQL -Injektion ist eine der gängigen Sicherheitslücken in Webanwendungen. Angreifer erhalten einen unbefugten Datenbankzugriff, indem sie böswilligen SQL -Code in Abfragen einfügen. Um die SQL -Injektion zu verhindern, müssen Entwickler eine Reihe von Maßnahmen ergreifen, um die Sicherheit von SQL -Abfragen sicherzustellen. In PHP bietet MySQLI_STMT :: __ als Vorverarbeitungs -Statement -Mechanismus Entwicklern ein leistungsstarkes Werkzeug, um SQL -Injektionsangriffe zu verhindern. In diesem Artikel wird eingehend untersucht, wie mySQLi_stmt :: __ Konstrukt eine wichtige Rolle bei der Verhinderung der SQL-Injektion spielt.
Mysqli_stmt :: __ Construct ist eine Methode, die von der MySQLI -Erweiterung in PHP bereitgestellt wird, um ein neues Vorverarbeitungsobjekt zu erstellen. Im Gegensatz zu gewöhnlichen SQL -Abfragenanweisungen ermöglichen die Vorverarbeitungsanweisungen die Verarbeitung von SQL -Anweisungen und -daten separat, wodurch eine schädliche Code -Injektion effektiv verhindert wird. Durch die Verwendung von Vorverarbeitungsanweisungen können Entwickler die Struktur und die Parameter von SQL -Abfragen separat an den Datenbankserver übergeben, um böswillige Benutzer die Möglichkeit zu vermeiden, SQL -Anweisungen zu manipulieren.
SQL -Injektionsangriffe werden normalerweise durch Einfügen von böswilligen SQL -Code in Benutzereingabefelder implementiert. Nehmen wir beispielsweise an, in einem Anmeldesformular wird ein Benutzername und ein Passwort empfangen und die folgende SQL -Abfrage verwendet, um die Identität des Benutzers zu überprüfen:
<span><span><span class="hljs-variable">$sql</span></span><span> = </span><span><span class="hljs-string">"SELECT * FROM users WHERE username = '<span class="hljs-subst">$username</span></span></span><span>' AND password = '</span><span><span class="hljs-subst">$password</span></span><span>'";
</span></span>Wenn der Angreifer den folgenden Inhalt im Feld Benutzername eingibt:
<span><span><span class="hljs-string">' OR '</span></span><span>1</span><span><span class="hljs-string">' = '</span></span><span>1
</span></span>Die Abfrage wird:
<span><span><span class="hljs-keyword">SELECT</span></span><span> </span><span><span class="hljs-operator">*</span></span><span> </span><span><span class="hljs-keyword">FROM</span></span><span> users </span><span><span class="hljs-keyword">WHERE</span></span><span> username </span><span><span class="hljs-operator">=</span></span><span> </span><span><span class="hljs-string">''</span></span><span> </span><span><span class="hljs-keyword">OR</span></span><span> </span><span><span class="hljs-string">'1'</span></span><span> </span><span><span class="hljs-operator">=</span></span><span> </span><span><span class="hljs-string">'1'</span></span><span> </span><span><span class="hljs-keyword">AND</span></span><span> password </span><span><span class="hljs-operator">=</span></span><span> </span><span><span class="hljs-string">'$password'</span></span><span>;
</span></span>Dies umgeht die Authentifizierung und gibt alle Daten in der Datenbank direkt zurück, was zu schwerwiegenden Sicherheitsproblemen führt.
Vorverarbeitungsanweisungen vermeiden, dass die Ausführung von SQL -Abfragen direkt beeinflusst, indem die SQL -Abfragestruktur getrennt von den Daten verarbeitet wird. Bei Verwendung von MySQLI_STMT :: __ Konstrukt wird die Struktur der SQL-Anweisung an die Datenbank gesendet, die die Abfrage vorpareht und kompiliert, während die tatsächlichen Parameter zu einem späteren Zeitpunkt an die Abfrage gebunden sind. Diese Methode isolierte die Abfragestruktur effektiv von den dynamischen Eingangsdaten und verhinderte SQL -Injektionsangriffe.
Durch die Verwendung von MySQLI_STMT :: __ Konstrukt werden alle Variablen in der Anweisung Abfrage als Parameter übergeben, anstatt direkt in die SQL -Zeichenfolge eingebettet zu werden. Erstellen Sie beispielsweise eine Vorverarbeitungsanweisung mit der folgenden Methode:
<span><span><span class="hljs-variable">$conn</span></span><span> = </span><span><span class="hljs-keyword">new</span></span><span> </span><span><span class="hljs-title function_ invoke__">mysqli</span></span><span>(</span><span><span class="hljs-variable">$host</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>, </span><span><span class="hljs-variable">$password</span></span><span>, </span><span><span class="hljs-variable">$dbname</span></span><span>);
</span><span><span class="hljs-variable">$stmt</span></span><span> = </span><span><span class="hljs-variable">$conn</span></span><span>-></span><span><span class="hljs-title function_ invoke__">prepare</span></span><span>(</span><span><span class="hljs-string">"SELECT * FROM users WHERE username = ? AND password = ?"</span></span><span>);
</span></span>Zu diesem Zeitpunkt repräsentiert das Fragezeichen ( ? ) In der Abfrageanweisung den Platzhalter, und der tatsächliche Wert wird später unter Verwendung der Methode Bind_param gebunden:
<span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">bind_param</span></span><span>(</span><span><span class="hljs-string">"ss"</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>, </span><span><span class="hljs-variable">$password</span></span><span>);
</span></span>In diesem Fall behandelt das Datenbanksystem $ username und $ password nicht mehr als Teil der SQL -Anweisung, sondern als Daten verarbeitet. Dies bedeutet, dass die Datenbank, selbst wenn der Benutzer einen böswilligen SQL -Code betritt, sie nicht als Teil der Abfrage ausführt.
Beim Aufrufen von Bind_param muss der Entwickler auch den Datentyp für jeden Parameter angeben. Zum Beispiel bedeutet "SS" , dass $ userername und $ password beide String -Typen sind. Diese Einschränkung des Datentyps stellt sicher, dass die Eingabedaten im richtigen Format immer an die Datenbank übergeben werden, wodurch der Anti-Injektionseffekt weiter verbessert wird. Selbst wenn der Benutzer einige Sonderzeichen oder potenziell böswillige Code eingibt, wird die Datenbank gemäß dem angegebenen Datentyp verarbeitet und führt keine unsicheren Operationen aus.
Neben der Verhinderung der SQL -Injektion bieten MySQLI_STMT :: __ Konstrukt- und Vorverarbeitungsanweisungen auch die folgenden Sicherheitsvorteile:
Verhindern Sie Datenleckage : Durch die Verwendung von Vorverarbeitungsanweisungen werden sensible Daten wie Kennwörter nicht direkt in das Abfrageprotokoll eingebettet, wodurch potenzielle Leckagerisiken verhindert werden.
Leistung verbessern : Vorverarbeitungsanweisungen können wiederverwendet werden. In Abfragen mit derselben Struktur muss nur einmal eine Abfrage zusammengestellt werden, und nur verschiedene Parameter müssen während der nachfolgenden Ausführung gebunden werden, was die Ausführungseffizienz verbessern kann, insbesondere wenn dieselbe Abfrage mehrmals ausgeführt wird.
Die Fehlerbehandlung ist robuster : Durch die Verwendung von Vorverarbeitungsanweisungen können Sie sicherstellen, dass das Format von SQL -Anweisungen immer korrekt ist und die potenziellen Risiken aufgrund von Syntaxfehlern verringert.
Mysqli_stmt :: __ Konstrukt spielt eine entscheidende Rolle bei der Verhinderung der SQL -Injektion. Durch die Verarbeitung der Struktur und die Parameter der Abfrage separat wird die Möglichkeit für die Eingabe der Benutzer vermieden, die Abfrageanweisung direkt zu ändern. Darüber hinaus verbessern die Vorverarbeitungsanweisungen die Sicherheit von Webanwendungen durch Datentypbeschränkungen, verbessern die Leistung und die Verbesserung der Sicherheit. In der modernen PHP -Entwicklung wird dringend empfohlen, dass Entwickler Vorverarbeitungsanweisungen verwenden, um Datenbankabfragen zu erstellen, um sicherzustellen, dass Anwendungen vor der SQL -Injektion geschützt sind.
