PHP MySQLI Ngăn chặn SQL Injection

Question

Tôi đã xây dựng một trang web sẽ sớm ra mắt và chỉ có một vài câu hỏi về ngăn ngừa SQL injection, tôi hiểu cách sử dụng mysqli_real_escape_string nhưng tôi tự hỏi liệu mình có phải sử dụng nó không tất cả các biến mà tôi nhận được cho câu lệnh SQL của mình và tôi có phải sử dụng nó khi tôi đang thực hiện các câu lệnh chọn hay chỉ trên chèn cập nhật và xóa? Ngoài ra, bạn sẽ khuyên bạn nên triển khai bảo mật nào khác trước khi tôi đặt trang web trực tiếp, cảm ơn trước vì đã trợ giúp!

Answer 1

Bất kỳ truy vấn nào cũng có thể được tiêm cho dù đó là đọc hoặc viết, liên tục hoặc tạm thời. Tiêm có thể được thực hiện bằng cách kết thúc một truy vấn và chạy một truy vấn riêng biệt (có thể với mysqli), làm cho truy vấn dự định không có liên quan.

Bất kỳ đầu vào nào cho truy vấn từ nguồn bên ngoài cho dù đó là từ người dùng hoặc thậm chí nội bộ phải được coi là một đối số cho truy vấn và tham số trong ngữ cảnh của truy vấn. Bất kỳ tham số nào trong truy vấn cần được tham số hóa. Điều này dẫn đến một truy vấn được tham số hóa đúng cách mà bạn có thể tạo một câu lệnh đã chuẩn bị từ và thực hiện với các đối số. Ví dụ:

SELECT col1 FROM t1 WHERE col2 = ? 

? là trình giữ chỗ cho thông số. Sử dụng mysqli, bạn có thể tạo câu lệnh đã chuẩn bị bằng cách sử dụng prepare, liên kết biến (đối số) với tham số bằng cách sử dụng bind_param và chạy truy vấn với execute. Bạn không cần phải sanitize đối số ở tất cả (trên thực tế nó là bất lợi để làm như vậy). mysqli thực hiện điều đó cho bạn.Quá trình đầy đủ sẽ là:

$stmt = mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?"); 
$stmt->bind_param("s", $col2_arg); 
$stmt->execute(); 

Ngoài ra còn có một sự khác biệt quan trọng giữa tham số truy vấn và tuyên bố chuẩn bị. Lời tuyên bố này, trong khi chuẩn bị, không phải là tham số và vì thế dễ bị tổn thương để tiêm:

$stmt = mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])"); 

Để tóm tắt:

• Tất cả Queries nên được tham số đúng cách (trừ khi họ không có thông số)
• Tất cả các đối số đối với truy vấn sẽ được coi là thù địch nhất có thể bất kể nguồn của chúng là gì

Answer 2

Nó sẽ đóng cửa trong vài giây, nhưng chỉ để làm cho mọi việc thẳng

Tôi hiểu làm thế nào để sử dụng mysqli_real_escape_string

Tôi sợ bạn không.

nếu tôi phải sử dụng trên tất cả các biến mà tôi nhận được cho câu lệnh SQL của tôi

chắc chắn không phải.
chức năng này đã được sử dụng để định dạng chuỗi SQL chỉ

sao tôi phải sử dụng nó khi tôi đang làm câu chọn cũng hay chỉ trên bản cập nhật chèn và xóa?

ANY Câu lệnh SQL. Nhưng một lần nữa, không phải là "sử dụng mysqli_real_escape_string" nhưng định dạng chữ của bạn hoàn toàn và đúng cách

Ngoài ra những gì an ninh khác mà bạn muốn giới thiệu

liên quan đến an ninh SQL - bạn phải định dạng đúng không chỉ chuỗi nhưng literals của mọi loại loại. Và mỗi yêu cầu phải có bộ quy tắc định dạng riêng biệt