Cum de a evita o injecție SQL în PHP

Cu acest ghid wikiHow veți învăța cum să evitați o injecție SQL folosind propoziții pregătite în PHP. În zilele noastre, injecțiile SQL sunt una dintre cele mai frecvente vulnerabilități ale aplicațiilor web. Instrucțiunile Ready folosesc parametrii corelați și nu combină variabilele cu șiruri SQL, ceea ce face imposibil ca un atacator să modifice o instrucțiune SQL.

Instrucțiunile pregătite combină variabilele cu instrucțiunile SQL compilate. În acest fel, instrucțiunile SQL și variabilele sunt trimise separat. Variabilele sunt apoi interpretate ca șiruri simple și nu ca parte a unei instrucțiuni SQL. Dacă se aplică metodele din etapele explicate mai jos, nu este necesar să folosiți orice alt tip de tehnică de filtrare prin injecție SQL, cum ar fi mysql_real_escape_string ().

pași

$ name = $ _GET [`nume de utilizator`] - $ query = "SELECT parola din tbl_user WHERE nume = `$ name` "-

$ name = "admin `OR 1 = 1 - "- $ query = "SELECT parola din tbl_user WHERE nume = `$ name` "-

SELECT parola din tbl_users WHERE nume = `admin` SAU 1 = 1 - `

$ nume = $ _GET [`username`] - dacă ($ stmt = $ mysqli->pregăti ("SELECTARE parolă FROM tbl_users WHERE name =?")) {// Alăturați-vă unei variabile cu parametrul ca șir $ stmt->bind_param ("s", $ name) - // Executați propoziția $ stmt->execute () - // Obțineți variabilele interogării $ stmt->bind_result ($ pass) - // Găsiți datele $ stmt->fetch () - // Afișează dataprintf ("Parola utilizatorului% s este% s n", $ name, $ pass) - // Închideți instrucțiunea pregătită $ stmt->close () -}

• Notă: variabila $ mysqli este obiectul de conectare al mySQLi.

2

Creați o interogare INSERT cu MySQLi. Utilizați codul de mai jos pentru a insera datele (INSERT) într-un tabel folosind instrucțiunile pregătite cu mySQLi.

$ nume = $ _GET [`username`] - $ password = $ _GET [`parola`] - if ($ stmt = $ mysqli->pregăti ("INSERTAȚI ÎN tbl_users (nume, parolă) VALUES (?,?)")) {// Legați variabilele la parametru ca șiruri de caractere $ stmt->bind_param ("ss", $ name, $ password) - // Executați propoziția $ stmt->execute () - // Închideți instrucțiunea pregătită $ stmt->close () -}

3

Creați o interogare UPDATE cu mySQLi. Utilizați codul de mai jos pentru a actualiza datele (UPDATE) ale unei tabele folosind instrucțiunile pregătite cu mySQLi.

$ nume = $ _GET [`username`] - $ password = $ _GET [`parola`] - if ($ stmt = $ mysqli->pregăti ("UPDATE tbl_users SET parola =? WHERE nume =?")) {// Legați variabilele la parametru ca șiruri de caractere $ stmt->bind_param ("ss", $ password, $ name) - // Executa teza $ stmt->execute () - // Închideți instrucțiunea pregătită $ stmt->close () -}

4

Creați o interogare DELETE cu mySQLi. Codul de mai jos arată cum să ștergeți (DELETE) datele dintr-o tabelă folosind instrucțiunile pregătite cu mySQLi.

$ nume = $ _GET [`username`] - $ password = $ _GET [`parola`] - if ($ stmt = $ mysqli->pregăti ("Șterge din tbl_users WHERE name =?")) {// Alăturați-vă unei variabile cu parametrul ca șir $ stmt->bind_param ("s", $ name) - // Executați propoziția $ stmt->execute () - // Închideți instrucțiunea pregătită $ stmt->close () -}