PHP ਵਿੱਚ SQL ਇੰਜੈਕਸ਼ਨ ਨੂੰ ਰੋਕਣਾ: ਵਧੀਆ ਅਭਿਆਸ ਅਤੇ ਤਕਨੀਕਾਂ

ਤੁਹਾਡੀਆਂ PHP ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ SQL ਇੰਜੈਕਸ਼ਨ ਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਅਤ ਕਰਨਾ

SQL ਇੰਜੈਕਸ਼ਨ ਇੱਕ ਗੰਭੀਰ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀ ਹੈ ਜੋ ਉਦੋਂ ਵਾਪਰਦੀ ਹੈ ਜਦੋਂ ਉਪਭੋਗਤਾ ਇੰਪੁੱਟ ਨੂੰ ਸਹੀ ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ ਤੋਂ ਬਿਨਾਂ SQL ਸਵਾਲਾਂ ਵਿੱਚ ਸਿੱਧਾ ਦਾਖਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਨਾਲ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ, ਡੇਟਾ ਹੇਰਾਫੇਰੀ, ਜਾਂ ਇੱਥੋਂ ਤੱਕ ਕਿ ਪੂਰੀ ਤਰ੍ਹਾਂ ਡੇਟਾ ਦਾ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਡਿਵੈਲਪਰਾਂ ਲਈ ਇਹਨਾਂ ਜੋਖਮਾਂ ਨੂੰ ਸਮਝਣਾ ਅਤੇ ਘੱਟ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੋ ਜਾਂਦਾ ਹੈ।

ਇਸ ਲੇਖ ਵਿੱਚ, ਅਸੀਂ ਆਮ SQL ਇੰਜੈਕਸ਼ਨ ਹਮਲਿਆਂ ਦੀ ਪੜਚੋਲ ਕਰਾਂਗੇ, ਜਿਵੇਂ ਕਿ ਜਦੋਂ ਕੋਈ ਐਪਲੀਕੇਸ਼ਨ `mysql_query("INSERT INTO ਟੇਬਲ (ਕਾਲਮ) VALUES ('$unsafe_variable')");` ਵਰਗੀ ਪੁੱਛਗਿੱਛ ਵਿੱਚ ਗੈਰ-ਸੈਨੀਟਾਈਜ਼ਡ ਯੂਜ਼ਰ ਇਨਪੁਟ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਅਸੀਂ ਫਿਰ SQL ਇੰਜੈਕਸ਼ਨ ਨੂੰ ਰੋਕਣ ਅਤੇ ਤੁਹਾਡੀਆਂ PHP ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰਣਨੀਤੀਆਂ 'ਤੇ ਚਰਚਾ ਕਰਾਂਗੇ।

SQL ਇੰਜੈਕਸ਼ਨ ਤੋਂ PHP ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਰੱਖਿਆ ਕਰਨਾ

ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਸੁਰੱਖਿਅਤ ਕੋਡਿੰਗ ਅਭਿਆਸਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ PHP ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ SQL ਇੰਜੈਕਸ਼ਨ ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਪਹਿਲੀ ਸਕ੍ਰਿਪਟ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ $mysqli->prepare() ਇੱਕ SQL ਸਟੇਟਮੈਂਟ ਤਿਆਰ ਕਰਨ ਲਈ ਫੰਕਸ਼ਨ, ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਇੰਪੁੱਟ ਨੂੰ SQL ਪੁੱਛਗਿੱਛ ਦੇ ਇੱਕ ਹਿੱਸੇ ਦੀ ਬਜਾਏ ਇੱਕ ਪੈਰਾਮੀਟਰ ਵਜੋਂ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਖਤਰਨਾਕ SQL ਕੋਡ ਦੇ ਲਾਗੂ ਹੋਣ ਦੇ ਜੋਖਮ ਤੋਂ ਬਚਦੀ ਹੈ। ਵਰਤ ਕੇ $stmt->bind_param(), ਸਕ੍ਰਿਪਟ ਉਪਭੋਗਤਾ ਇੰਪੁੱਟ ਨੂੰ ਤਿਆਰ ਸਟੇਟਮੈਂਟ ਨਾਲ ਜੋੜਦੀ ਹੈ, ਪੈਰਾਮੀਟਰ ਦੀ ਕਿਸਮ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਇਹ ਕਦਮ ਅੱਗੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇੰਪੁੱਟ ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਸੰਭਾਲਿਆ ਗਿਆ ਹੈ। ਦੇ ਨਾਲ ਬਿਆਨ ਦੀ ਕਾਰਵਾਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ $stmt->execute(), ਅਤੇ ਬਿਆਨ ਨਾਲ ਬੰਦ ਹੈ $stmt->close() ਮੁਫਤ ਸਰੋਤਾਂ ਲਈ. ਅੰਤ ਵਿੱਚ, ਡਾਟਾਬੇਸ ਕੁਨੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬੰਦ ਹੋ ਗਿਆ ਹੈ $mysqli->close().

ਦੂਜੀ ਸਕ੍ਰਿਪਟ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਉਪਯੋਗਕਰਤਾ ਦੇ ਇਨਪੁਟ ਤੋਂ ਕਿਵੇਂ ਬਚਣਾ ਹੈ $mysqli->real_escape_string(). ਇਹ ਵਿਧੀ ਇਨਪੁਟ ਵਿੱਚ ਵਿਸ਼ੇਸ਼ ਅੱਖਰਾਂ ਤੋਂ ਬਚ ਜਾਂਦੀ ਹੈ, ਇਸਦੀ ਵਰਤੋਂ ਇੱਕ SQL ਪੁੱਛਗਿੱਛ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਬਣਾਉਂਦੀ ਹੈ। ਹਾਲਾਂਕਿ ਇਹ ਪਹੁੰਚ ਕਿਸੇ ਪੁੱਛਗਿੱਛ ਵਿੱਚ ਉਪਭੋਗਤਾ ਇੰਪੁੱਟ ਨੂੰ ਸਿੱਧੇ ਪਾਉਣ ਨਾਲੋਂ ਬਿਹਤਰ ਹੈ, ਇਸ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਬਿਆਨਾਂ ਨਾਲੋਂ ਘੱਟ ਸੁਰੱਖਿਅਤ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਤੀਜੀ ਸਕ੍ਰਿਪਟ SQL ਸਟੇਟਮੈਂਟਾਂ ਨੂੰ ਤਿਆਰ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ PDO (PHP ਡੇਟਾ ਆਬਜੈਕਟ) ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੀ ਹੈ। ਵਰਤ ਕੇ $pdo->prepare() ਅਤੇ $stmt->bindParam(), ਸਕ੍ਰਿਪਟ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਇੰਪੁੱਟ ਸੁਰੱਖਿਅਤ ਰੂਪ ਨਾਲ SQL ਪੁੱਛਗਿੱਛ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਇਹ ਵਿਧੀ ਇਸਦੀ ਲਚਕਤਾ ਅਤੇ ਸੁਰੱਖਿਆ ਲਈ ਬਹੁਤ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਕੁਨੈਕਸ਼ਨ ਸੈਟਿੰਗ ਦੁਆਰਾ ਬੰਦ ਕੀਤਾ ਗਿਆ ਹੈ $pdo = null, ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਸਾਰੇ ਸਰੋਤ ਸਹੀ ਢੰਗ ਨਾਲ ਜਾਰੀ ਕੀਤੇ ਗਏ ਹਨ। ਇਹ ਸਕ੍ਰਿਪਟਾਂ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ PHP ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ SQL ਇੰਜੈਕਸ਼ਨ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਮਜ਼ਬੂਤ ​​ਹੱਲ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।

<?php
// Create a new MySQLi connection
$mysqli = new mysqli("localhost", "user", "password", "database");

// Check connection
if ($mysqli->connect_error) {
    die("Connection failed: " . $mysqli->connect_error);
}

// Prepare an SQL statement
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");

// Bind parameters
$stmt->bind_param("s", $user_input);

// Set the user input
$user_input = $_POST['user_input'];

// Execute the statement
$stmt->execute();

// Close the statement and connection
$stmt->close();
$mysqli->close();
?>

<?php
// Create a new MySQLi connection
$mysqli = new mysqli("localhost", "user", "password", "database");

// Check connection
if ($mysqli->connect_error) {
    die("Connection failed: " . $mysqli->connect_error);
}

// Escape the user input
$unsafe_variable = $_POST['user_input'];
$safe_variable = $mysqli->real_escape_string($unsafe_variable);

// Create the SQL query
$sql = "INSERT INTO `table` (`column`) VALUES ('$safe_variable')";

// Execute the query
if ($mysqli->query($sql) === TRUE) {
    echo "New record created successfully";
} else {
    echo "Error: " . $sql . "<br>" . $mysqli->error;
}

// Close the connection
$mysqli->close();
?>

<?php
// Create a new PDO connection
$pdo = new PDO('mysql:host=localhost;dbname=database', 'user', 'password');

// Prepare an SQL statement
$stmt = $pdo->prepare("INSERT INTO table (column) VALUES (:user_input)");

// Bind parameters
$stmt->bindParam(':user_input', $user_input);

// Set the user input
$user_input = $_POST['user_input'];

// Execute the statement
$stmt->execute();

// Close the connection
$pdo = null;
?>

PHP ਵਿੱਚ SQL ਇੰਜੈਕਸ਼ਨ ਰੋਕਥਾਮ ਲਈ ਉੱਨਤ ਤਕਨੀਕਾਂ

ਤਿਆਰ ਕੀਤੇ ਬਿਆਨਾਂ ਅਤੇ ਬਚਣ ਵਾਲੇ ਇਨਪੁਟ ਵਰਗੇ ਬੁਨਿਆਦੀ ਉਪਾਵਾਂ ਤੋਂ ਪਰੇ, SQL ਇੰਜੈਕਸ਼ਨ ਨੂੰ ਰੋਕਣ ਲਈ ਇੱਕ ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਪਹੁੰਚ ਸਟੋਰ ਕੀਤੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਵਰਤੋਂ ਹੈ। ਸਟੋਰ ਕੀਤੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ SQL ਕੋਡ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਅਤੇ ਦੁਬਾਰਾ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਉਹ ਤੁਹਾਨੂੰ ਡਾਟਾਬੇਸ ਦੇ ਅੰਦਰ ਹੀ ਤੁਹਾਡੇ ਸਵਾਲਾਂ ਦੇ ਤਰਕ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ, ਇਸ ਤਰ੍ਹਾਂ ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਜੋੜਦੇ ਹਨ। ਆਪਣੇ PHP ਕੋਡ ਤੋਂ ਇਹਨਾਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਕਾਲ ਕਰਕੇ, ਤੁਸੀਂ SQL ਸਟੇਟਮੈਂਟਾਂ ਨਾਲ ਸਿੱਧੀ ਗੱਲਬਾਤ ਨੂੰ ਘੱਟ ਕਰਦੇ ਹੋ, ਇਸ ਤਰ੍ਹਾਂ ਇੰਜੈਕਸ਼ਨ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਉਂਦੇ ਹੋ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਟੋਰ ਕੀਤੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਵਰਤੋਂ SQL ਸਟੇਟਮੈਂਟਾਂ ਦੇ ਪਾਰਸਿੰਗ ਸਮੇਂ ਨੂੰ ਘਟਾ ਕੇ ਪ੍ਰਦਰਸ਼ਨ ਨੂੰ ਬਿਹਤਰ ਬਣਾ ਸਕਦੀ ਹੈ।

ਵਿਚਾਰ ਕਰਨ ਲਈ ਇਕ ਹੋਰ ਪਹਿਲੂ ਹੈ ਆਬਜੈਕਟ-ਰਿਲੇਸ਼ਨਲ ਮੈਪਿੰਗ (ORM) ਫਰੇਮਵਰਕ ਜਿਵੇਂ ਕਿ ਸਿਧਾਂਤ ਜਾਂ ਇਲੋਕੇਂਟ ਦੀ ਵਰਤੋਂ। ORMs ਇੱਕ ਉੱਚ-ਪੱਧਰੀ API ਵਿੱਚ ਡਾਟਾਬੇਸ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਐਬਸਟ੍ਰੈਕਟ ਕਰਦੇ ਹਨ, SQL ਸਟੇਟਮੈਂਟਾਂ ਦੀ ਸਿਰਜਣਾ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਆਟੋਮੈਟਿਕ ਹੀ ਸੰਭਾਲਦੇ ਹਨ। ਇਹ ਐਬਸਟਰੈਕਸ਼ਨ ਲੇਅਰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ SQL ਇੰਜੈਕਸ਼ਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ ਕਿਉਂਕਿ ਡਿਵੈਲਪਰ ਕੱਚੀਆਂ SQL ਪੁੱਛਗਿੱਛਾਂ ਦੀ ਬਜਾਏ ਵਸਤੂਆਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਤੁਹਾਡੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਅਪ ਟੂ ਡੇਟ ਰੱਖਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਆਪਣੇ ਡੇਟਾਬੇਸ ਪ੍ਰਬੰਧਨ ਸਿਸਟਮ, PHP ਸੰਸਕਰਣ, ਅਤੇ ਲਾਇਬ੍ਰੇਰੀਆਂ ਨੂੰ ਨਿਯਮਤ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਕਰਨਾ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਤੁਸੀਂ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਤੋਂ ਸੁਰੱਖਿਅਤ ਹੋ। ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ ਸਾਈਡਾਂ 'ਤੇ ਵਿਆਪਕ ਇਨਪੁਟ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ ਰੁਟੀਨ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸੰਭਾਵੀ SQL ਇੰਜੈਕਸ਼ਨ ਹਮਲਿਆਂ ਦੇ ਵਿਰੁੱਧ ਤੁਹਾਡੀ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ​​ਬਣਾਉਂਦਾ ਹੈ।

SQL ਇੰਜੈਕਸ਼ਨ ਦੇ ਵਿਰੁੱਧ PHP ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਬਾਰੇ ਅੰਤਿਮ ਵਿਚਾਰ

ਸਿੱਟੇ ਵਜੋਂ, PHP ਵਿੱਚ SQL ਇੰਜੈਕਸ਼ਨ ਨੂੰ ਰੋਕਣ ਲਈ ਇੱਕ ਬਹੁਪੱਖੀ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਤਿਆਰ ਸਟੇਟਮੈਂਟਾਂ ਅਤੇ ਪੈਰਾਮੀਟਰਾਈਜ਼ਡ ਸਵਾਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸਭ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਤਰੀਕਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਤਕਨੀਕਾਂ ਜਿਵੇਂ ਕਿ ਇਨਪੁਟ ਪ੍ਰਮਾਣਿਕਤਾ, ORMs ਦੀ ਵਰਤੋਂ ਕਰਨਾ, ਅਤੇ ਅਪਡੇਟ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਸੰਸਕਰਣਾਂ ਨੂੰ ਕਾਇਮ ਰੱਖਣਾ ਸੁਰੱਖਿਆ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ​​ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਅਭਿਆਸਾਂ ਨੂੰ ਜੋੜ ਕੇ, ਡਿਵੈਲਪਰ ਆਪਣੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਸੁਰੱਖਿਆ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਖਤਰਨਾਕ ਹਮਲਿਆਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਰੱਖਿਆ ਕਰ ਸਕਦੇ ਹਨ।