လက်ရှိတည်နေရာ: ပင်မစာမျက်နှာ> နောက်ဆုံးရဆောင်းပါးများစာရင်း> SQL Injection ကိုကာကွယ်ရန် PHP အတွက်အဓိကနည်းလမ်းသုံးခုနှင့်အကောင်အထည်ဖော်မှုရွေးချယ်မှုနှစ်ခု

SQL Injection ကိုကာကွယ်ရန် PHP အတွက်အဓိကနည်းလမ်းသုံးခုနှင့်အကောင်အထည်ဖော်မှုရွေးချယ်မှုနှစ်ခု

gitbox 2025-08-05

နိဒါန်း

PHP application development တွင် SQL Injection Attacks ကိုကာကွယ်ခြင်းသည်စနစ်လုံခြုံရေးကိုသေချာစေရန်သော့ချက်ဖြစ်သည်။ SQL Injection ဆိုသည်မှာတရားမဝင်သော SQL ထုတ်ပြန်ချက်များကိုအန္တရာယ်ရှိသော input မှလွဲ. တိုက်ခိုက်သည့်နည်းလမ်းဖြစ်သည်။ ထိုကဲ့သို့သောအန္တရာယ်များကိုထိရောက်စွာရှောင်ရှားရန် developer များ၏အသုံးပြုသူများကအသုံးအများဆုံးနည်းလမ်းများတွင် precomported ထုတ်ပြန်ချက်များကိုအသုံးပြုခြင်း, အထူးအက္ခရာများမှလွတ်မြောက်ခြင်းနှင့်စစ်ထုတ်ခြင်းများအသုံးပြုခြင်းတို့ပါဝင်သည်။

Precompiled ထုတ်ပြန်ချက်များကိုသုံးပါ

Precompored ထုတ်ပြန်ချက်များသည် SQL ထုတ်ပြန်ချက်များကိုသတ်မှတ်ခြင်းပုံစံကိုသတ်မှတ်ထားသည့်နည်းပညာဖြစ်သည်။ ဥပမာများမှာအောက်ပါအတိုင်းဖြစ်သည် -

 $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);

ဤနည်းလမ်းသည်အသုံးပြုသူအားစုစည်းမှုမှတစ်ဆင့်အသုံးပြုသူ၏ထည့်သွင်းမှုမှအလိုအလျှောက်လွတ်မြောက်စေပြီး input code ကို SQL Code အဖြစ်ကွပ်မျက်ခြင်းအားဖြင့်ဆေးထိုးတိုက်ခိုက်မှုများကိုတားဆီးလိမ့်မည်။

အထူးအက္ခရာများမှလွတ်မြောက်ရန်

နောက်ထပ်အကာအကွယ်တစ်ခုမှာအသုံးပြုသူမှ 0 င်ရောက်သောအထူးအက္ခရာများမှလွတ်မြောက်ရန်အတွက်ဤစာလုံးများကို SQL ကြေငြာချက်၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့်အနက်ဖွင့်ဆိုခြင်း မှလွဲ. အဓိပ္ပာယ်ကောက်ယူခြင်းမှကာကွယ်ရန်ဖြစ်သည်။ PHP တွင် MySQLI_REAL_REAL_Sescape_String သို့မဟုတ် PDO :: Quote function ကိုသုံးနိုင်သည်။ ဥပမာများမှာအောက်ပါအတိုင်းဖြစ်သည် -

 $safe_username = mysqli_real_escape_string($conn, $username);
$safe_password = mysqli_real_escape_string($conn, $password);
$sql = "SELECT * FROM users WHERE username = '{$safe_username}' AND password = '{$safe_password}'";
$result = mysqli_query($conn, $sql);

ဤနည်းလမ်းသည်အဓိကအားဖြင့် MySQL databases နှင့်သက်ဆိုင်သည်။ အထူးအက္ခရာများမှလွတ်မြောက်ရန်လုံခြုံမှုရှိရန်လုံခြုံမှုရှိရန်အာမခံထားသည်။

filter များအသုံးပြုခြင်း

PHP ၏ filter function ကိုအသုံးပြုသူထည့်သွင်းမှုကိုစစ်ဆေးရန်နှင့် filter filter ကိုစစ်ဆေးရန်အသုံးပြုသည်။ အချက်အလက်များကိုရှာဖွေရန်နှင့်ဆေးထိုးခြင်းအန္တရာယ်ကိုလျှော့ချရန်သေချာစေပါ။ ဥပမာများမှာအောက်ပါအတိုင်းဖြစ်သည် -

 $filtered_username = filter_var($username, FILTER_SANITIZE_STRING);
$filtered_password = filter_var($password, FILTER_SANITIZE_STRING);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->bindParam(':username', $filtered_username);
$stmt->bindParam(':password', $filtered_password);
$stmt->execute();

filter များအသုံးပြုခြင်းကိုအသုံးပြုခြင်းသည် input ထဲတွင်အထူးအက္ခရာများကိုသန့်ရှင်းရေးမလုပ်နိုင်ပါ,

အကျဉ်းချုပ်

SQL Injection ကိုကာကွယ်ခြင်းသည် PHP ဖွံ့ဖြိုးတိုးတက်မှုတွင်အာရုံစိုက်ရမည့်လုံခြုံရေး link ကိုဖြစ်သည်။ တိကျစွာဖော်ပြထားသောဖော်ပြချက်များကို အသုံးပြု. အထူးအက္ခရာများနှင့်စစ်ထုတ်ခြင်းများမှလွတ်မြောက်ရန် developer များကဆေးထိုးတိုက်ခိုက်မှုအန္တရာယ်ကိုထိရောက်စွာလျှော့ချနိုင်သည်။ အသုံးပြုသူထည့်သွင်းမှုနှင့် ပတ်သက်. နိုးနိုးကြားကြားရှိရန်နှင့်ဒေတာဘေ့စ်နှင့်အသုံးချပရိုဂရမ်များ၏လုံခြုံစိတ်ချရသောလုပ်ဆောင်မှုကိုသေချာစေရန်သင့်လျော်သောဆောင်ရွက်မှုများကိုသေချာအောင်လုပ်ပါ။

ဆက်စပ်အကြောင်းအရာ
မကြာသေးမီ ဆောင်းပါးများ