PHPの準(zhǔn)備されたステートメントは、SQLロジックをデータから分離することにより、SQL注入を防ぐために重要です。それらは、ユーザー入力にプレースホルダーを使用して作業(yè)します。ユーザー入力は、実行可能コードとして解釈されることなく値にバインドされます。開(kāi)発者は、常に位置または指名されたプレースホルダーを使用し、実行前にパラメーターを結(jié)合し、生の入力をクエリに連結(jié)しないようにする必要があります。準(zhǔn)備されたステートメントは高速で信頼性が高く、PDOやMySQLIなどのPHPのメインデータベース拡張機(jī)能に統(tǒng)合されているため、內(nèi)部データでさえこの方法で処理する必要があります。

PHPでデータベース操作を処理する場(chǎng)合、セキュリティが最優(yōu)先事項(xiàng)です。アプリケーションをSQLインジェクション攻撃から保護(hù)する最も効果的な方法の1つは、準(zhǔn)備されたステートメントを使用することです。

準(zhǔn)備された聲明とは何ですか？

準(zhǔn)備されたステートメントは、PDOまたはMySQLIを含むPHPを含む、ほとんどの最新のデータベースとプログラミング言語(yǔ)でサポートされる機(jī)能です。彼らは、SQLロジックをそれに渡されるデータから分離することで機(jī)能します。ユーザーの入力をクエリ文字列に直接埋め込む代わりに、最初にテンプレートを準(zhǔn)備し、次に値をプレースホルダーにバインドします。

例えば：

 $ stmt = $ pdo-> prepare（ 'select * from users where id =？'）;
$ stmt-> execute（[$ userid]）;

これにより、データが常に実行可能なコードではなく値として扱われることが保証されます。入力に悪意のあるSQLが含まれていても、そのように解釈されません。

なぜ彼らがセキュリティにとって重要であるのか

SQLクエリでユーザー入力を扱う際の最大の危険は、SQLインジェクションです。これは、攻撃者が入力フィールド（ログインフォームや検索ボックスなど）を操作して悪意のあるSQLコマンドを注入したときに発生します。

準(zhǔn)備されたステートメントがなければ、開(kāi)発者はユーザーの入力をこのようなクエリに直接連結(jié)する可能性があります。

 $ query = "select * from users where username = '"。 $ _POST ['USERNAME']。 "'";

誰(shuí)かが' OR '1'='1に入ると、結(jié)果のクエリは次のとおりです。

 select * fromユーザーはusername = ''または '1' = '1'

意図したロジックを効果的にバイパスし、データを公開(kāi)または損傷する可能性があります。

準(zhǔn)備されたステートメントでは、入力が個(gè)別にバインドされ、SQL構(gòu)造と直接混合されることはないため、この種の操作は実行されません。

それらを効果的に使用する方法

準(zhǔn)備されたステートメントを正しく使用すると、基本的なクエリよりも少し多くのセットアップが必要ですが、それだけの価値があります。それを正しく行う方法は次のとおりです。

• 常に指名または位置のプレースホルダーを使用します（ ? or :name ）
• 値を補(bǔ)間するのではなく、実行前のパラメーターをバインドします
• クエリ文字列を手動(dòng)で構(gòu)築するのではなく、値の配列でexecute（）を使用します
• 安全だと思う場(chǎng)合でも、生の入力をクエリに組み合わないでください - 常に準(zhǔn)備されたステートメントを常に使用してください

これが名前付きプレースホルダーの共通パターンです：

 $ stmt = $ pdo-> prepare（ 'ユーザー（名前、電子メール）値（：name、：email）'）;
$ stmt-> execute（['name' => $ name、 'email' => $ email]）;

これにより、すべてが清潔で安全になります。

それらをスキップしないとき

內(nèi)部または非ユーザー向けのデータを操作するときに、準(zhǔn)備されたステートメントをスキップするのは魅力的かもしれません。しかし、システムで生成されたデータでさえ、予期しない文字を運(yùn)ぶことができたり、信頼性の低いソースから來(lái)たりすることがあります。データがどこから來(lái)ても、常にそれらを使用する方が安全です。

また、一部のフレームワークまたはORMは、直接的なSQLの使用を抽象化する可能性がありますが、準(zhǔn)備されたステートメントの使用を理解して実施することで、物事がうまくいかず、デバッグが必要なときに、より良い制御を行うことができます。

基本的に、それらを回避する正當(dāng)な理由はありません。それらは高速で信頼性が高く、PHPのメインデータベース拡張機(jī)能に組み込まれています。

準(zhǔn)備されたステートメントを使用するだけでなく、データベース処理を保護(hù)するためには多くのことがありますが、それらは基盤を形成します。この方法でクエリを書くことに慣れると、それは第二の性質(zhì)になり、最も一般的なWebの脆弱性の1つに対する強(qiáng)固な防御になります。

以上がデータベースセキュリティのためのPHPにおける準(zhǔn)備されたステートメントの重要性について議論します。の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。