PHPでのSQL注入攻撃を効果的に防止する方法は？実用的なプログラミングスキル

M66 2025-06-16

PHPプログラミングのヒント：SQL注入攻撃を防ぐ方法

データベース操作を実行する場合、セキュリティが重要です。 SQLインジェクション攻撃は、CyberAttackの一般的な方法であり、悪意のあるSQLコードを挿入することにより、データベースエラー操作やデータリークさえもつながります。したがって、SQL注入攻撃を防ぐために、アプリケーションのセキュリティを確保するために、さまざまな予防策を講じる必要があります。

1.パラメーター化されたクエリを使用します

パラメーター化されたクエリは、SQL注入攻撃を防ぐ最も効果的な方法の1つです。ユーザーが入力した値をSQLクエリステートメントから分離することにより、悪意のあるSQLコードの実行を回避します。 PHPでは、PDO（PHPデータオブジェクト）拡張機能を使用して、パラメーター化されたクエリを実装できます。

PDOを使用してパラメーター化されたクエリを実装する例は次のとおりです。

      $ servername = "localhost";
      $ username = "your_username";
      $ password = "your_password";
      $ dbname = "your_database";

      試すす {
        $ conn = new PDO（ "mysql：host = $ servername; dbname = $ dbname"、$ username、$ password）;
        $ conn-> setAttribute（pdo :: attr_errmode、pdo :: errmode_exception）;

        $ username = $ _post [&#39;username&#39;];
        $ password = $ _post [&#39;password&#39;];

        $ stmt = $ conn-> prepare（ "select * fromユーザーからusername =：username and password =：password"）;
        $ stmt-> bindparam（ &#39;：username&#39;、$ username）;
        $ stmt-> bindparam（ &#39;：password&#39;、$ password）;

        $ stmt-> execute（）;
        $ result = $ stmt-> fetchall（pdo :: fetch_assoc）;
      } catch（pdoexception $ e）{
        //例外を処理します...
      }

パラメーター化されたクエリを介して、ユーザー入力値をSQLステートメントとは別に処理し、BindParamメソッドを介して入力値をクエリプレースホルダーに結合し、SQL注入を防ぎます。

2。ユーザーの入力をフィルタリングして確認します

パラメーター化されたクエリの使用に加えて、SQLインジェクションを防ぐ別の方法は、ユーザー入力を厳密にフィルタリングおよび検証することです。 filter_var（）やfilter_input（）などのPHPのフィルター関数を使用して、入力データを検証およびクリーニングできます。

ユーザー入力のフィルタリングと検証の例は次のとおりです。

      $ username = $ _post [&#39;username&#39;];
      $ password = $ _post [&#39;password&#39;];

      if（！empty（$ username）&&！empty（$ password））{
        //ユーザー名前とパスワードをフィルタリングして確認し、$ filteredusername = filter_var（$ username、filter_sanitize_string）;
        $ filteredpassword = filter_var（$ password、filter_sanitize_string）;
        
        //クエリ動作しますを実行します...
      } それ以外 {
        //ユーザー名前とパスワードがヌルにすることはできませんecho "ユーザー名前とパスワードはヌルにすることはできません。";
      }

この例では、filter_sanitize_stringフィルターを使用してユーザー入力から安全でない文字をクリアしたため、ユーザーが悪意のあるSQLコードを入力しても、自動的に削除または逃げます。

3.データベースの権限を最小限に抑えます

システムのセキュリティを強化するために、データベースユーザーの権限を最小限に制限し、必要な操作を実行するために必要なアクセス許可のみを提供することをお勧めします。データベースユーザーに過度のアクセス許可、特に機密データの運用許可を提供しないでください。

4.アプリケーションとデータベースを定期的に更新および維持します

アプリケーションとデータベースのセキュリティを確保するために、定期的な更新とメンテナンスが非常に重要です。既知のセキュリティの脆弱性をタイムリーに修正し、データベースが定期的にバックアップされていることを確認して、データの損失や悪意のある改ざんを防ぎます。

要約します

SQL注入攻撃の防止は、アプリケーションのセキュリティを確保するための重要なステップの1つです。パラメーター化されたクエリ、入力のフィルタリングと検証、データベースの許可の制限、定期的な更新とメンテナンスを使用することにより、SQLインジェクション攻撃を効果的に防止できます。さらに、最新のセキュリティの脅威と脆弱性に定期的に注意を払い、対応する予防措置を講じる必要があります。

関連タグ:
SQL