SQLインジェクションを防ぐHtaccessとMysqliの違い

Question

私はWordPressのブログをSQLインジェクションから保護したいと思います。

私は、データベースとカスタムの非ワードプレステーブルへのクエリを含む多くのPHPカスタムページを持っています。プリペアドステートメントおよびパラメータ化クエリのため

1）MySQLiをまたはPDO：

私は2つの方法を使用することができます知っています。次のような

2）htaccessのルール：

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR] 

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR] 

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR] 

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR] 

RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR] 

RewriteCond %{QUERY_STRING} ftp\: [NC,OR] 

RewriteCond %{QUERY_STRING} http\: [NC,OR] 

RewriteCond %{QUERY_STRING} https\: [NC,OR] 

RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR] 

RewriteCond %{QUERY_STRING} ^(.*)/self/(.*)$ [NC,OR] 

RewriteCond %{QUERY_STRING} ^(.*)cPath=http://(.*)$ [NC,OR] 

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] 

RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR] 

RewriteCond %{QUERY_STRING} (\<|%3C).*iframe.*(\>|%3E) [NC,OR] 

RewriteCond %{QUERY_STRING} (<|%3C)([^i]*i)+frame.*(>|%3E) [NC,OR] 

RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR] 

RewriteCond %{QUERY_STRING} base64_(en|de)code[^(]*\([^)]*\) [NC,OR] 

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] 

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR] 

RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>).* [NC,OR] 

RewriteCond %{QUERY_STRING} (NULL|OUTFILE|LOAD_FILE) [OR] 

RewriteCond %{QUERY_STRING} (\./|\../|\.../)+(motd|etc|bin) [NC,OR] 

RewriteCond %{QUERY_STRING} (localhost|loopback|127\.0\.0\.1) [NC,OR] 

RewriteCond %{QUERY_STRING} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR] 

RewriteCond %{QUERY_STRING} concat[^\(]*\([NC,OR] 

RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR] 

RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR] 

RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR] 

RewriteCond %{QUERY_STRING} (sp_executesql) [NC] 

RewriteRule ^(.*)$ - [F,L] 

htaccessの方法を使用しては非常に簡単かつ迅速になります。これを使用して不利な点はありますか？

Answer 1

私は、あなたが有害だと思うものをブラックリストに載せています。あなたが忘れる可能性のあるものや将来に開く可能性のある違反があるかもしれないので、私はそれを信じません。あなたはそれをファイルに追加することを忘れてしまいます。

より良いaproachはあなたがそれが大丈夫だと知っているホワイトリストですが、htaccessで可能かどうかわかりません。

私は理想的なアプローチはコメントに示唆されたものだと思います。 mysqli拡張には、PDOまたはmysqli_real_escape_string()および/またはsettype()の準備文を使用してください。あなたが
を言っているとおりにhtacessプロパティを使用することができますので、準備文を使用して

Answer 2

はSQLインジェクションからウェブサイトを防止するための最善の解決策ですが、それはSQLインジェクションからあなたのウェブサイトを確保するための最良の方法ではありません。 htacessのみURLベースの注入から保護するために助けることが準備書を使用することによって、それはまた、あなたのウェブサイトのセキュリティをテストすることができ、この

を行った後、SQLインジェクションのすべての種類

から防ぐのに役立ちますか脆弱性を使用してpentesterking.com

Answer 3

あなたはhtaccessによってSQLインジェクションに使用できる特定のクエリが妨げられる可能性がありますが、すべての状況で成功するかどうかを判断することは不可能です。

準備されたステートメントの場合、使用された変数が確実にエスケープされることがわかります。

htaccessルールは、有効な入力を妨げる可能性があります。 SQLコードを管理するアプリケーションがあり、ユーザーが照会を検索できるようにしたい場合は、htaccessでフィルターする文字列を照会に含めることが完全に正しいかもしれません。

この目的のためにhtaccessルールを使用することは、保守が難しく、エラーが発生しやすく、最悪の場合、コードを見ると、クエリに渡す変数が有害でないかどうかは決して確信できません。変数が使用されるポイントまでの可能なすべての方法を調べて、何らかの悪質な結果を招くような方法で変更されているかどうかを確認する必要があります。

プリペアドステートメントとその他の検証方法の考え方は、可能な限りそれらを使用するポイントに近いものを実行することです。これは、コードを保守可能にする唯一の方法です。コードの小さな部分を調べて、それが妥当かどうかを確認する必要があるからです。