လက်ရှိတည်နေရာ: ပင်မစာမျက်နှာ> နောက်ဆုံးရဆောင်းပါးများစာရင်း> SQL Injection Attacks ကိုထိရောက်စွာကာကွယ်ရန် PHP တွင် PHP တွင် Real_escape_String function ကိုမည်သို့အသုံးပြုရမည်နည်း။

SQL Injection Attacks ကိုထိရောက်စွာကာကွယ်ရန် PHP တွင် PHP တွင် Real_escape_String function ကိုမည်သို့အသုံးပြုရမည်နည်း။

gitbox 2025-06-10

Real_escape_string ကဘာလဲ။

Real_escape_String သည် MySQLI extension တွင်အဓိကအားဖြင့် strings တွင်အထူးဇာတ်ကောင်များမှလွတ်မြောက်ရန်အသုံးပြုသောနည်းလမ်းဖြစ်သည်။ ၎င်းသည်အန္တရာယ်ရှိသောဇာတ်ကောင်များမတိုင်မီက backslash ( \ ) ကိုအလိုအလျောက်ထည့်သွင်းပါလိမ့်မည်။ ၎င်းသည် SQL syntax တွင်အထူးအဓိပ္ပာယ်ကိုဆုံးရှုံးစေနိုင်သည်။

Real_escape_String ကို ဘယ်အချိန်မှာသုံးဖို့လိုသလဲ။

အသုံးပြုသူထည့်သွင်းမှုများကို SQL ထုတ်ပြန်ချက်များသို့တိုက်ရိုက်စပျစ်သီးပြနေသောမည်သည့်အခြေအနေမဆို input contents မှလွတ်မြောက်ရန်လိုအပ်သည်။ ဒီလိုမှမဟုတ်ရင်တိုက်ခိုက်သူကအန္တရာယ်ရှိတဲ့ထုတ်ပြန်ချက်များကိုတည်ဆောက်ရန် input ကိုသုံးနိုင်သည်။

Real_escape_String ကို မှန်ကန်စွာအသုံးပြုနည်း?

အသုံးပြုသူ input ကိုဘေးကင်းစွာကိုင်တွယ်ရန် Real_escape_String ကို မည်သို့အသုံးပြုရမည်ကိုပြသသောရိုးရှင်းသောဥပမာတစ်ခုဖြစ်သည်။

<Code> & LT; MySQLI connection ကိုဖန်တီးပါ။ MySQLI connection $ can အသစ် = MySQLI (GITBOX.NET ',' Username ',' Password ',' database ',

// ဆက်သွယ်မှုအောင်မြင်မှုရှိမရှိစစ်ဆေးပါ
IF ($ conn-> connect_error) {
Die ("ဆက်သွယ်မှုမအောင်မြင်ပါ။ " ။ $ conn-> connection_error);
}

// အသုံးပြုသူသည် Username ကိုပုံစံဖြင့်တင်သွင်းခဲ့သည့်ဆိုပါစို့
$ user_input = $ _post ['username';

အသုံးပြုသူ input ကိုမှလွတ်မြောက်ရန် Real_escape_String ကိုသုံးပါ
$ Safe_INPUT = $ conn-> Real_escape_String ($ user_input);

// SQL စုံစမ်းမှုကြေညာချက်ကိုတည်ဆောက်ရန်
$ sql = "username = '$ Safe_INPPAPPATE" အသုံးပြုသူများမှ "" SELECT * ";

// execute query ကို
$ ရလဒ် = $ conn-> query ($ sql);

အကယ်. ($ ရလဒ် - num_row> 0) {
// လုပ်ငန်းစဉ်မေးမြန်းချက်ရလဒ်များ
နေစဉ် ($ အတန်း = $ ရလဒ် -> finch_assoc ()) {
Echo "User ID:" ။ $ အတန်း ["ID"] ။ "- အသုံးပြုသူအမည် -" ။ $ အတန်း ["Username"] ။ "<br> <br>";
}
} အခြား
ECHO "ကိုက်ညီမှုမရှိပါ။ ";
}

$ conn-> အနီးကပ် ();
>
</ code>

အဘယ်ကြောင့် Real_escape_String SQL ဆေးထိုးခြင်းကိုတားဆီးနိုင်သနည်း။

Real_escape_String သည် SQL အင်ဂျင် ( " ), နှစ်ထပ်ကိန်း ( " ) ,

မှတ်သားရန်အရာ

  1. ဆက်သွယ်မှုကိုထူထောင်ရမည် - Real_escape_String သည် ဒေတာဘေ့စ်ဆက်သွယ်မှုအခြေအနေပေါ် မူတည်. ဆက်သွယ်မှုမတိုင်မီမခေါ်သင့်ပါ။

  2. application ၏နယ်ပယ် - ဤလုပ်ဆောင်ချက်သည် string from မှလွတ်မြောက်ရန်အတွက်သာသင့်လျော်သည်။

  3. Preprocessing statements ကိုအသုံးပြုရန်အကြံပြုသည်Real_escape_String သည်ထိရောက်သော်လည်း MySQLI သို့မဟုတ် PDO မှ PDE မှ PDE မှ PDE မှ PDE သို့မဟုတ် PDO မှ SQL Queries အတွက်အသုံးပြုရန်အကြံပြုသည်။

  • သက်ဆိုင်သောတက်(ဂ်)များ:

    SQL
ဆက်စပ်အကြောင်းအရာ