Бесплатный вебинар
«как найти любимую работу»
Подарки на 150 000 ₽ за участие
Живой эфир
Записи не будет!
00:00:00:00
дн.ч.мин.сек.

Безопасное взаимодействие PHP c SQL: противодействие инъекциям

Быстрый ответ

Чтобы предотвратить SQL-инъекции в PHP, используйте PDO:

php
Скопировать код
$stmt = $pdo->prepare("INSERT INTO users (username) VALUES (?)");
$stmt->execute([$username]); // Это способ избежать SQL-инъекций!

Или используйте MySQLi:

php
Скопировать код
$stmt = $mysqli->prepare("INSERT INTO users (username) VALUES (?)");
$stmt->bind_param("s", $username); // Эффективная защита от SQL-инъекций
$stmt->execute();

Всегда передавайте пользовательские данные как параметры. Конкатенация в запросах может быть рискованной.

Кинга Идем в IT: пошаговый план для смены профессии

Магия подготовленных выражений

Подготовленные выражения – это золотой стандарт безопасного взаимодействия с базой данных. Они отделяют SQL-команды от пользовательских данных, делая последние абсолютно безопасными.

Почему нужны подготовленные выражения?

  • Безопасность: Это эффективный инструмент для предотвращения SQL-инъекций.
  • Производительность: Они выгодны при повторяющихся однотипных запросах.
  • Читаемость: Обеспечивают ясность и логичность SQL-запросов.
Подробнее об этом расскажет наш спикер на видео
skypro youtube speaker

Помощники для динамического SQL

  • При работе с динамическим SQL составляйте список допустимых значений, словно декларацию для посетителей клуба.
  • В PHP 8.2 благодаря execute_query можно уйти от сложностей подготовленных выражений.

Проверка и очистка

  • Проверяйте входные данные: Убедитесь, что данные соответствуют заранее заданным требованиям.
  • Очищайте входные данные: Применяйте различные фильтры, чтобы исключить возможность отправки разрушительных запросов в вашу базу данных.

Визуализация

Markdown
Скопировать код
Небезопасный метод:
"SELECT * FROM users WHERE username = '"+ username +"';" 
// Это как ходить на фестиваль во время пандемии, не правда ли?

Безопасный метод:
$statement = $dbConnection->prepare("SELECT * FROM users WHERE username = ?;");
$statement->bind_param("s", username); 
// А это уже безопасное проведение уютного вечера дома с «Netflix & chill».

Стоит отметить: Подготовленные выражения для SQL-запросов являются надежным средством, подобно антисептику для рук 🤲.

Кроме подготовленных выражений

  • Забудьте об устаревших функциях: Не используйте функции mysql_*; они устарели и представляют угрозу безопасности.
  • Отчеты об ошибках: Применяйте блоки try-catch для обнаружения ошибок при работе с базой данных.
  • Обновление версии PHP: Регулярно обновляйте PHP, чтобы обеспечить безопасность своих приложений.

Настройки PDO и MySQLi

  • Отказ от эмуляции подготовленных выражений: Стремитесь использовать настоящие подготовленные выражения.
  • Кодировка символов: Правильная кодировка убережет ваше приложение от уязвимостей.
  • Исключения PDO: Ловите ошибки, а не подавляйте их, для более эффективного контроля и отладки.
Markdown
Скопировать код
Как правило:
Необработанные запросы      = 👎🔓 (Это приглашение для хакеров)
Подготовленные запросы = 👍🔒 (Ваш код недоступен, как VIP-сектор)

Полезные материалы

  1. PHP: Подготовленные выражения и хранимые процедуры – Руководство — Официальная документация PHP по подготовленным выражениям с использованием PDO.
  2. SQL-инъекции | Фонд OWASP — Глубокое руководство по предупреждению SQL-инъекций.
  3. bobby-tables.com: Руководство по предотвращению SQL-инъекций в PHP — Полезные советы о предупреждении SQL-инъекций в PHP.
  4. PHP: Подготовленные выражения – Руководство — Гид по использованию подготовленных выражений с MySQLi.
  5. PHP: Правильный путь — Незаменимый источник лучших практик программирования на PHP.
  6. mysql – Как обезопасить себя от SQL-инъекций в PHP? – Stack Overflow — Проверенные на практике советы и решения по защите от SQL-инъекций.
  7. PHP MySQL Подготовленные выражения — Руководство по использованию подготовленных выражений для обеспечения безопасности SQL-запросов.
Проверь как ты усвоил материалы статьи
Пройди тест и узнай насколько ты лучше других читателей
Какой метод предотвращает SQL-инъекции при работе с PHP?
1 / 5