防止SQL注入的关键是使用预处理语句和参数化查询,如PHP中通过PDO prepare()方法绑定参数,避免用户输入直接拼接SQL;同时验证输入格式与长度,限制数据库账户权限,杜绝高危操作。
防止SQL注入攻击的关键在于避免将用户输入直接拼接到SQL语句中。在MySQL中,最有效的方法是使用预处理语句(Prepared Statements)结合参数化查询。这种方式能确保用户输入被当作数据处理,而不是SQL代码执行。
使用预处理语句(推荐方式)
预处理语句会先发送带有占位符的SQL模板到数据库,再传入用户数据,数据库会自动对数据进行转义和类型检查。
以PHP为例,使用PDO:$pdo = new PDO($dsn, $username, $password);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);
$user = $stmt->fetch();
使用命名占位符更清晰:$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->bindParam(':email', $email);
$stmt->execute();
对输入进行验证和过滤
即使使用预处理语句,也应限制用户输入的格式和长度,进一步降低风险。
- 验证邮箱、手机号等是否符合标准格式
- 限制字符串长度,避免异常长的输入
- 对特殊字符如单引号、分号、注释符号进行检测或拒绝
避免拼接SQL字符串
任何时候都不要将用户提交的数据直接拼进SQL语句。
迅易年度企业管理系统开源完整版
下载
系统功能强大、操作便捷并具有高度延续开发的内容与知识管理系统,并可集合系统强大的新闻、产品、下载、人才、留言、搜索引擎优化、等功能模块,为企业部门提供一个简单、易用、开放、可扩展的企业信息门户平台或电子商务运行平台。开发人员为脆弱页面专门设计了防刷新系统,自动阻止恶意访问和攻击;安全检查应用于每一处代码中,每个提交到系统查询语句中的变量都经过过滤,可自动屏蔽恶意攻击代码,从而全面防止SQL注入攻击
$sql = "SELECT * FROM users WHERE id = " . $_GET['id'];
1 OR 1=1 可导致数据泄露。最小权限原则
数据库账户应按需分配权限。Web应用连接数据库的账号不应拥有不必要的权限,如删除表、修改结构或执行系统命令。
- 普通查询使用只读或读写权限
- 禁用DROP、TRUNCATE等高危操作权限
- 避免使用root或管理员账户连接数据库
基本上就这些。核心是永远不信任用户输入,坚持使用参数化查询,配合输入验证和权限控制,就能有效抵御SQL注入攻击。
