如何防止 SQL 注入?

SQL 注入是一种常见的网络安全威胁。防范措施包括使用参数化查询、输入验证、最小权限原则等。本文详细介绍了各种预防方法,并给出了具体的实现示例。

前端安全 困难 安全 数据库 SQL注入

防范 SQL 注入攻击是确保 Web 应用安全的重点,涉及控制用户输入和处理数据的策略。常见有效方法包括:

  1. 使用参数化查询或预编译语句 最有效的方式,使输入不被当作 SQL 代码执行: 
    // PHP PDO 示例
$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'pass');
$stmt = $pdo -> prepare('SELECT * FROM users WHERE email = :email');
$stmt -> execute(['email' => $userInput]);
$result = $stmt -> fetchAll();
  2. 输入验证与过滤 检查用户输入是否符合预期格式:
    • 使用白名单验证:限制输入类型、长度和字符范围。
    • 过滤特殊字符:如单引号、分号等。 
      // PHP filter_var 示例
$email = filter_var($userInput, FILTER_VALIDATE_EMAIL);
if ($email === false) {
  // 无效输入的处理
}
  3. 应用最小权限原则 数据库账户仅分配必需权限:
    • 避免使用管理账户。
    • 限制连接权限,例如为数据库用户设置只读权限。 
      CREATE USER 'readonly'@'localhost' IDENTIFIED BY 'password';
GRANT SELECT ON test.* TO 'readonly'@'localhost';
  4. 使用 ORM 框架 减少手动 SQL 编写风险: 
    // PHP Eloquent ORM 示例
$user = User::where('email', $userInput)->first();
  5. 定期更新维护
    • 及时更新数据库系统、应用库和安全补丁。
    • 如使用 Composer: composer update
  6. 部署 Web 应用防火墙 (WAF)
    • 如 Cloudflare 或腾讯云 WAF,检测并阻止恶意注入请求。
  7. 安全错误处理和监控
    • 禁用数据库错误输出前端。
    • 日志审计异常 SQL 执行事件。
  8. 安全教育与编码实践
    • 开发团队定期培训 OWASP 最佳实践。
    • 进行代码审查和安全测试。 通过这些方法结合应用,可在源码级根本防范攻击风险。