Français
Français
Dans le développement d'applications PHP, la prévention des attaques d'injection SQL est la clé pour assurer la sécurité du système. L'injection SQL est une méthode d'attaque qui exécute des instructions SQL illégales via une entrée malveillante. Pour éviter efficacement ces risques, les méthodes couramment utilisées par les développeurs incluent l'utilisation de déclarations précompilées, la fuite de caractères spéciaux et l'application de filtres.
Les instructions précompilées sont une technologie qui sépare la structure des instructions SQL des paramètres, ce qui peut éviter efficacement la saisie des utilisateurs affectant directement la logique d'exécution SQL. Les exemples sont les suivants:
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);
Cette méthode échappe automatiquement à l'entrée de l'utilisateur via la liaison des paramètres, garantissant que le contenu d'entrée ne sera pas exécuté sous forme de code SQL, empêchant ainsi les attaques d'injection.
Une autre façon de protection consiste à échapper aux caractères spéciaux entrés par l'utilisateur pour empêcher ces personnages d'être mal interprétés dans le cadre de l'instruction SQL. Dans PHP, vous pouvez utiliser MySQLI_REAL_ESCAPE_STRING ou PDO :: CITATION FONCTION. Les exemples sont les suivants:
$safe_username = mysqli_real_escape_string($conn, $username);
$safe_password = mysqli_real_escape_string($conn, $password);
$sql = "SELECT * FROM users WHERE username = '{$safe_username}' AND password = '{$safe_password}'";
$result = mysqli_query($conn, $sql);
Cette méthode est principalement applicable aux bases de données MySQL, et les instructions de requête sont garanties pour être sûres en échappant aux caractères spéciaux.
La fonction de filtrage de PHP peut être utilisée pour vérifier et filtrer la saisie des utilisateurs, s'assurer que les données sont conformes au format attendu et réduire le risque d'injection. Les exemples sont les suivants:
$filtered_username = filter_var($username, FILTER_SANITIZE_STRING);
$filtered_password = filter_var($password, FILTER_SANITIZE_STRING);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->bindParam(':username', $filtered_username);
$stmt->bindParam(':password', $filtered_password);
$stmt->execute();
L'utilisation de filtres peut non seulement nettoyer les caractères spéciaux dans l'entrée, mais également sélectionner le type de filtre approprié en fonction des différents besoins pour améliorer la sécurité des données.
La prévention de l'injection SQL est un lien de sécurité qui doit être prêté attention dans le développement de PHP. En utilisant rationnellement les déclarations précompilées, échapper aux caractères et filtres spéciaux, les développeurs peuvent réduire efficacement le risque d'attaques d'injection. Assurez-vous d'être vigilant sur l'entrée des utilisateurs et prenez des mesures appropriées pour assurer le fonctionnement sûr et stable de la base de données et des applications.
