Bagaimana dengan berkesan mencegah kelemahan suntikan SQL dalam aplikasi PHP?

Melindungi Aplikasi PHP Terhadap Suntikan SQL

Pengenalan

Suntikan SQL kekal sebagai ancaman keselamatan kritikal, membolehkan penyerang menjejaskan pangkalan data dengan memasukkan kod SQL berniat jahat ke dalam input pengguna. Ini boleh membawa kepada akses, pengubahsuaian atau pemadaman data yang tidak dibenarkan. Panduan ini menggariskan amalan terbaik untuk pencegahan suntikan SQL yang mantap dalam PHP.

Bahaya Input Pengguna Tidak Sah

Input pengguna yang tidak sah ialah kelemahan utama. Menggabungkan input pengguna secara langsung ke dalam pertanyaan SQL tanpa pengesahan dan sanitasi yang betul mewujudkan risiko keselamatan yang ketara. Contohnya:

$userInput = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('$userInput')");

Jika pengguna memasukkan '); DROP TABLE jadual;--, pertanyaan yang terhasil menjadi:

INSERT INTO `table` (`column`) VALUES(''); DROP TABLE table;--')

Ini melaksanakan perintah yang merosakkan, menjatuhkan keseluruhan jadual.

Penyelesaian: Penyata Disediakan dan Pertanyaan Berparameter

Pertahanan paling berkesan terhadap suntikan SQL adalah menggunakan pernyataan yang disediakan dan pertanyaan berparameter. Data ini berasingan daripada kod SQL, menghalang data daripada ditafsirkan sebagai arahan.

Memanfaatkan PDO

PDO (Objek Data PHP) menyediakan lapisan abstraksi pangkalan data yang menyokong pernyataan yang disediakan. Berikut ialah contoh:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(['name' => $name]);

foreach ($stmt as $row) {
    // Process $row
}

Menggunakan MySQLi

MySQLi menawarkan fungsi yang serupa. Untuk PHP 8.2 dan lebih baru:

$result = $db->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);
while ($row = $result->fetch_assoc()) {
    // Process $row
}

Untuk versi PHP sebelum 8.2:

$stmt = $db->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' denotes string
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process $row
}

Konfigurasi Sambungan Penting

PDO: Lumpuhkan kenyataan yang disediakan yang dicontohi:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

MySQLi: Laksanakan pelaporan ralat dan tetapan charset yang mantap:

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4');

Kesimpulan

Melaksanakan amalan terbaik ini dengan ketara mengurangkan risiko kelemahan suntikan SQL. Utamakan mengasingkan data daripada kod SQL, secara konsisten menggunakan pernyataan yang disediakan dan pertanyaan berparameter, dan mengkonfigurasi sambungan pangkalan data dengan selamat. Ini memastikan keselamatan dan integriti pangkalan data anda yang berterusan.

Atas ialah kandungan terperinci Bagaimana dengan berkesan mencegah kelemahan suntikan SQL dalam aplikasi PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!