Français
Français
Le filtrage et la vérification des données sont une étape cruciale lors du développement d'applications Web. En particulier pour les applications impliquant des opérations de base de données, comment prévenir les attaques d'injection SQL est un problème auquel chaque développeur doit prêter attention. Cet article introduira des méthodes de filtrage courantes en PHP pour empêcher l'injection de SQL pour aider les développeurs à améliorer la sécurité des applications.
Les déclarations de prétraitement sont un moyen efficace de prévenir les attaques d'injection SQL. Il exécute séparément les requêtes SQL et les paramètres, évitant ainsi le risque d'épissage directement des données entrées par les utilisateurs avec des instructions SQL. Dans PHP, vous pouvez utiliser PDO (PHP Data Objectts) ou MySQLI (extension MySQL améliorée) pour implémenter des instructions de prétraitement.
Voici un exemple de code pour implémenter les instructions de prétraitement à l'aide de PDO:
// créer PDO connecter
$pdo = new PDO('mysql:host=localhost;dbname=mydb;charset=utf8', 'username', 'password');
// Préparer les déclarations de prétraitement
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
// Lier les paramètres
$stmt->bindParam(':username', $username);
// Exécuter une requête
$stmt->execute();
// Obtenir des résultats
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
PHP fournit plusieurs fonctions intégrées pour filtrer les données d'entrée utilisateur, telles que filter_input () et filter_var () . Ces fonctions peuvent vérifier les données basées sur des filtres spécifiés, aidant les développeurs à prévenir efficacement les attaques d'injection SQL.
Voici un exemple de code pour le filtrage de données à l'aide de filter_input () et filter_var () :
// utiliser filter_input() Filtrez des données d'entrée
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
// utiliser filter_var() Filtrez des données d'entrée
$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
Lors de l'insertion de données intentées par l'utilisateur dans des instructions SQL, des caractères spéciaux doivent être échappés. PHP fournit des fonctions ADDSLASHES () et MySqli_Real_escape_String () pour implémenter l'échappement de caractères.
Voici un exemple de code utilisant la fonction MySQLI_REAL_ESCAPE_STRING () :
// créer mysqli connecter
$conn = mysqli_connect('localhost', 'username', 'password', 'mydb');
// Échapper aux caractères spéciaux
$username = mysqli_real_escape_string($conn, $_POST['username']);
$password = mysqli_real_escape_string($conn, $_POST['password']);
// mettre en œuvre SQL Requête
$query = "INSERT INTO users (username, password) VALUES('$username', '$password')";
mysqli_query($conn, $query);
En utilisant des instructions de prétraitement, en filtrant les fonctions et en échappant aux caractères spéciaux, les développeurs peuvent effectivement prévenir les attaques d'injection SQL. Cependant, il est tout aussi important de tenir le logiciel à jour et de réparer les vulnérabilités de sécurité possibles, car les attaquants trouvent constamment de nouvelles façons d'attaquer. Par conséquent, les développeurs doivent toujours prêter attention aux dernières vulnérabilités de sécurité et corriger et examiner régulièrement le code pour assurer la sécurité de leurs demandes.
Dans l'ensemble, la protection de la sécurité des données des utilisateurs est essentielle pour les développeurs Web. En utilisant des méthodes de filtrage et de vérification de données rationnellement, la sécurité des applications peut être considérablement améliorée et le risque d'attaques d'injection SQL peut être réduit. J'espère que cet article fournit des conseils précieux aux développeurs de PHP afin de les aider à mieux prévenir les attaques d'injection SQL.
