当前位置：首页 > news >正文

Web开发中防止SQL注入

news 2025/12/11 10:22:50

一、SQL注入简介

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。

二、SQL注入攻击的总体思路

1.寻找到SQL注入的位置
2.判断服务器类型和后台数据库类型
3.针对不同的服务器和数据库特点进行SQL注入攻击

三、SQL注入攻击实例

比如在一个登录界面，要求输入用户名和密码：
可以这样输入实现免帐号登录：
用户名： ‘or 1 = 1 –
密 码：
点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)
这是为什么呢? 下面我们分析一下：
从理论上说，后台认证程序中会有如下的SQL语句：

String sql = "select * from user_table where username=
' "+userName+" ' and password=' "+password+" '";当输入了上面的用户名和密码，上面的SQL语句变成：
SELECT * FROM user_table WHERE username=
'’or 1 = 1 -- and password='’"""
分析SQL语句：
条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功；然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。
这还是比较温柔的，如果是执行
SELECT * FROM user_table WHERE
username='' ;DROP DATABASE (DB Name) --' and password=''
其后果可想而知…
"""

四、如何防御SQL注入

注意：但凡有SQL注入漏洞的程序，都是因为程序要接受来自客户端用户输入的变量或URL传递的参数，并且这个变量或参数是组成SQL语句的一部分，
对于用户输入的内容或传递的参数，我们应该要时刻保持警惕，这是安全领域里的「外部数据不可信任」的原则，纵观Web安全领域的各种攻击方式，
大多数都是因为开发者违反了这个原则而导致的，所以自然能想到的，就是从变量的检测、过滤、验证下手，确保变量是开发者所预想的。

1、检查变量数据类型和格式

如果你的SQL语句是类似where id={$id}这种形式，数据库里所有的id都是数字，那么就应该在SQL被执行前，检查确保变量id是int类型；如果是接受邮箱，那就应该检查并严格确保变量一定是邮箱的格式，其他的类型比如日期、时间等也是一个道理。总结起来：只要是有固定格式的变量，在SQL语句执行前，应该严格按照固定格式去检查，确保变量是我们预想的格式，这样很大程度上可以避免SQL注入攻击。
比如，我们前面接受username参数例子中，我们的产品设计应该是在用户注册的一开始，就有一个用户名的规则，比如5-20个字符，只能由大小写字母、数字以及一些安全的符号组成，不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过，仍然有很多例外情况并不能应用到这一准则，比如文章发布系统，评论系统等必须要允许用户提交任意字符串的场景，这就需要采用过滤等其他方案了。

2、过滤特殊符号

对于无法确定固定格式的变量，一定要进行特殊符号过滤或转义处理。

3、绑定变量，使用预编译语句

MySQL的mysqli驱动提供了预编译语句的支持，不同的程序语言，都分别有使用预编译语句的方法

实际上，绑定变量使用预编译语句是预防SQL注入的最佳方式，使用预编译的SQL语句语义不会发生改变，在SQL语句中，变量用问号?表示，黑客即使本事再大，也无法改变SQL语句的结构

小结：

1.使用预编译绑定变量的SQL语句
2.严格加密处理用户的机密信息
3.不要随意开启生产环境中Webserver的错误显示
4.使用正则表达式过滤传入的参数
5.字符串过滤
6.检查是否包函非法字符总的来说，防范一般的SQL注入只要在代码规范上下点功夫就能预防

Web开发中防止SQL注入

相关文章：

Web开发中防止SQL注入

【LeetCode-中等】剑指 Offer 35. 复杂链表的复制（详解）

QT图形视图系统 - 使用一个项目来学习QT的图形视图框架 -第一篇

Cat.1如何成为物联网业务加速器？

Qt应用开发(基础篇)——布局管理 Layout Management

Python web实战之 Django 的 ORM 框架详解

pycharm制作柱状图

静态资源导入探究

安全狗V3.512048版本绕过

prometheus监控k8s kube-proxy target down

SPSS数据分析--假设检验的两种原假设取舍决定方式

Python实现猫狗分类

pjsip、pjsua2+bcg729 windows下编译java版本

尝试多数据表 sqlite

Keil出现Flash Timeout.Reset the Target and try it again.我有一种解决方法

纯粹即刻，畅享音乐搜索的轻松体验

动态规划之树形DP

嵌入式_GD32使用宏开关进行Debug串口打印调试

使用 GitHub Copilot 进行 Prompt Engineering 的初学者指南（译）

c++开发模式，享元模式

调用支付宝接口响应40004 SYSTEM_ERROR问题排查

什么是库存周转？如何用进销存系统提高库存周转率？

SpringCloudGateway 自定义局部过滤器

OpenLayers 分屏对比(地图联动)

【笔记】WSL 中 Rust 安装与测试完整记录

免费PDF转图片工具

C++课设：简易日历程序（支持传统节假日 + 二十四节气 + 个人纪念日管理）

uniapp 字符包含的相关方法

Chromium 136 编译指南 Windows篇：depot_tools 配置与源码获取（二）

springboot 日志类切面，接口成功记录日志，失败不记录