မြန်မာဘာသာ
မြန်မာဘာသာ
SQL Injection Attack သည် Database Interaction အတွက် PHP ကိုအသုံးပြုသော 0 က်ဘ်အပလီကေးရှင်းများကိုတီထွင်သောအခါလျစ်လျူရှုခြင်းကိုလျစ်လျူရှု။ မရပါ။ SQL Injection ကိုထိရောက်စွာကာကွယ်ရန် developer များသည်များသောအားဖြင့် ပြင်ဆင်ထားသည့်ထုတ်ပြန်ချက်များကို အသုံးပြုကြသည်။ သို့သော်လည်းကြိုတင်ကာကွယ်ခြင်းထုတ်ပြန်ချက်များကိုဖျက်သိမ်းသည့်အခါအခက်အခဲအမျိုးမျိုးရှိနေသေးသည်။
ကံကောင်းထောက်မစွာပင် PHP ၏ MySQLI_STMT အတန်းသည် ဒေါ်လာအမှား attribute ကိုထောက်ပံ့ပေးသည်။ နောက်တစ်ခုက MySQLI_STMMT :: $ အမှား ကြုံနေရနေစဉ်မှာ Debugging ထိရောက်မှုကိုဘယ်လိုတိုးတက်အောင်လုပ်ရမယ်ဆိုတာကိုလေ့လာမယ်။
ပထမ ဦး စွာ SQL Injection ကိုကာကွယ်ရန် MySQLI ၏ကြိုတင်သတ်မှတ်ချက်များကိုမည်သို့အသုံးပြုရမည်ကိုအတိုချုပ်ပြန်လည်သုံးသပ်ရန် -
<?php
$mysqli = new mysqli("localhost", "username", "password", "database");
if ($mysqli->connect_error) {
die("Connection failed: " . $mysqli->connect_error);
}
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$username = "admin";
$password = "password123";
$stmt->execute();
$stmt->close();
$mysqli->close();
?>
အထက်ပါကုဒ်သည် SQL ဆေးထိုးတိုက်ခိုက်မှုများကိုကာကွယ်ရန်ကြိုတင်သတ်မှတ်ထားသောထုတ်ပြန်ချက်များကိုအသုံးပြုသည်။ အသုံးပြုသူများမှထည့်သွင်းထားသောအချက်အလက်များ (ဥပမာ $ username နှင့် $ စကားဝှက် ကဲ့သို့) ကို SQL Query များ၌တိုက်ရိုက်ထည့်သွင်းထားခြင်းမရှိသေးပါ။
MySQLI_STMT :: $ အမှား သည် MySQLI_STMT အရာဝတ်ထု၏ပိုင်ဆိုင်မှုတစ်ခုဖြစ်သည်။ ဤအိမ်ခြံမြေမှတစ်ဆင့် developer များက SQL စုံစမ်းမှုအကောင်အထည်ဖော်မှုပြတ်တောက်မှုနှင့်ပတ်သက်သည့်အသေးစိတ်အမှားအချက်အလက်များကိုရယူနိုင်သည်။ ယေဘုယျအားဖြင့်စုံစမ်းစစ်ဆေးမှုအမှားများကိုအသုံးပြုသောအခါ, query ablights error robory ဖြစ်လျှင် $ stmt-> အမှားကို စစ်ဆေးခြင်းအားဖြင့် Datmt-> အမှားများကိုစစ်ဆေးခြင်းမပြုဘဲစစ်ဆေးနိုင်သည်။
SQL query ကိုကွပ်မျက်ခံရပြီးနောက်နှင့်အပြီးနှင့်ပြီးနောက်စုံစမ်းမှု၏အ မှား သတင်းအချက်အလက်ကိုကြည့်ရှုနိုင်သည်။ ဥပမာအားဖြင့်:
<?php
$mysqli = new mysqli("localhost", "username", "password", "database");
if ($mysqli->connect_error) {
die("Connection failed: " . $mysqli->connect_error);
}
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
if ($stmt === false) {
die("Failed to prepare the query: " . $mysqli->error);
}
$stmt->bind_param("ss", $username, $password);
$username = "admin";
$password = "password123";
$stmt->execute();
if ($stmt->error) {
echo "SQL Error: " . $stmt->error;
} else {
echo "Query executed successfully.";
}
$stmt->close();
$mysqli->close();
?>
ဒီဥပမာမှာ $ stmt- encoultute () execute () execute () ကိုကွပ်မျက်ပြီးနောက် $ stmt-> အမှားကို စစ်ဆေးသည်။ ဤချဉ်းကပ်မှုသည် developer များရှာဖွေတွေ့ရှိခြင်းတွင် debugging လုပ်ခြင်း,
SQL ထိုးဖောက်ကာကွယ်ရေး၏အဓိကအယူအဆမှာ dynamic sql မေးမြန်းချက်များကိုတိုက်ရိုက်ကွပ်မျက်ခြင်းနှင့်အန္တရာယ်ရှိသော input ကိုရှောင်ရှားရန် Proprocessing ထုတ်ပြန်ချက်များကိုလျှော့ချရန်ဖြစ်သည်။ သို့သော်အမှန်တကယ်ဖွံ့ဖြိုးတိုးတက်မှုတွင်ကျွန်ုပ်တို့သည်ကြိုတင်မမြင်နိုင်သောအမှားအယွင်းများကိုကြုံတွေ့ရနိုင်သည်, သို့မဟုတ်စုံစမ်းမှုတစ်ခုမှန်ကန်စွာကွပ်မျက်ခံရခြင်းရှိမရှိဆုံးဖြတ်ရန်မဖြစ်နိုင်ပါ။ ဤကိစ္စတွင် $ error error property သည်အောက်ပါအထောက်အပံ့များပေးနိုင်သည်။
SQL ထုတ်ပြန်ချက်များကို Debugging: SQL ကြေငြာချက်သည် execute လုပ်ရန်ပျက်ကွက်သောအခါ ဒေါ်လာ stmt-> အမှားသည် developer များပြ problems နာများကိုလျင်မြန်စွာရှာဖွေရန်အထောက်အကူပြုရန်အသေးစိတ်အမှားအချက်အလက်များကိုပေးနိုင်သည်။
လုံခြုံရေးကိုတိုးတက်အောင်လုပ်ခြင်း - ဖွံ့ဖြိုးရေးအဆင့်တွင် $ stmt-> အမှားကို ကြည့်ခြင်းအားဖြင့်တန်ဖိုးရှိသောအမှားအချက်အလက်များကိုရယူနိုင်သည်။ ဤအိမ်ခြံမြေကို Debug Mode တွင်အသုံးပြုခြင်းအားဖြင့် SQL Injection ကိုခုခံကာကွယ်နေစဉ်အတွင်းအထိခိုက်မခံနိုင်သောသတင်းအချက်အလက်များကိုပေါက်ကြားလိမ့်မည်မဟုတ်ကြောင်းအာမခံသည်။
Optimized Query: SQL အမှားများကိုစစ်ဆေးခြင်းအားဖြင့် developer များကမလိုအပ်သောစွမ်းဆောင်ရည်မြှင့်တင်မှုများနှင့်ဆေးထိုးခြင်းဆိုင်ရာအားနည်းချက်များကိုရှောင်ရှားရန် develabase မေးမြန်းချက်များကိုပိုမိုကောင်းမွန်အောင်ပြုလုပ်နိုင်သည်။
$ stmt-> အမှားသည် အသုံးဝင်သော debugging သတင်းအချက်အလက်များကိုထောက်ပံ့သော်လည်းထုတ်လုပ်မှုပတ် 0 န်းကျင်တွင်အမှားအချက်အလက်များကိုဖော်ထုတ်ရန်လုံခြုံမှုမရှိပါ။ ဘာဖြစ်လို့လဲဆိုတော့အမှားအယွင်းတွေမှာအထိခိုက်မခံတဲ့ဒေတာဘေ့စ်အဆောက်အ ဦ များ, စားပွဲပေါ်မှာအမည်များ, ကော်လံအမည်များစသည်တို့ပါ 0 င်သောကြောင့်ဤအချက်အလက်သည်တိုက်ခိုက်သူများအတွက်အလွန်တန်ဖိုးရှိသည်။ ဘေးကင်းလုံခြုံမှုကိုသေချာစေရန်, အောက်ပါအစီအမံများကိုထုတ်လုပ်မှုပတ် 0 န်းကျင်တွင်ပြုလုပ်နိုင်သည်။
<?php
if ($stmt->error) {
// အမှားများကိုသာမှတ်တမ်းတင်ပါ,အသုံးပြုသူများကိုပြသခြင်းကိုရှောင်ကြဉ်ပါ
error_log("SQL Error: " . $stmt->error);
echo "An error occurred. Please try again later.";
} else {
echo "Query executed successfully.";
}
?>
ဤဥပမာတွင်အသုံးပြုသူအားတိုက်ရိုက်ပြသခြင်းထက်အမှားမက်ဆေ့ခ်ျကို log file ထဲသို့ဝင်ရောက်သည်။ ၎င်းသည်အလားအလာရှိသောလုံခြုံရေးအန္တရာယ်များကိုထိရောက်စွာလျှော့ချနိုင်သည်။
MySQLI_STMT :: $ error attribute ကိုပေါင်းစပ်ခြင်းအားဖြင့် PHP developer များသည် Php developer များက SQL ထိုးဆေးကာကွယ်ရေး၏ထိရောက်မှုကိုတိုးတက်စေရန်ကူညီပေးနိုင်သည်။ $ အမှား attribute သည် SQL Injection ကိုတိုက်ရိုက်မတားဆီးနိုင်သော်လည်း Developer များထံမှ developer များထံမှအဖိုးတန်သောတုံ့ပြန်ချက်များကိုထောက်ပံ့ပေးသည်။ ၎င်းသည်ဆေးထိုးတိုက်ခိုက်မှုများကိုခုခံကာကွယ်နေစဉ်တွင်ဒေတာဘေ့စ်မေးမြန်းချက်များကိုတိကျစွာပိုမိုကောင်းမွန်အောင်ပြုလုပ်ပေးသည်။ System ၏လုံခြုံရေးကိုသေချာစေရန် developer များသည်လည်းထုတ်လုပ်မှုပတ် 0 န်းကျင်တွင်ယိုစိမ့်မှုများကိုရှောင်ရှားရန်ရှောင်ရှားရန် developer များကအမှားအချက်အလက်များကိုဂရုတစိုက်ကိုင်တွယ်ရမည်။
သက်ဆိုင်သောတက်(ဂ်)များ:
mysqli_stmt SQL
