如何防御SQL注入恶意代码及对上传文件执行严格过滤

来源：PHP编程网作者：冷风头衔：草根站长

导读：本期聚焦于小伙伴创作的《如何防御SQL注入恶意代码及对上传文件执行严格过滤》，敬请观看详情，探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何防御SQL注入恶意代码及对上传文件执行严格过滤》有用，将其分享出去将是对创作者最好的鼓励。

SQL注入的原理与危害

SQL注入是攻击者通过在应用输入框中插入恶意SQL语句，欺骗后端数据库执行非预期指令的攻击方式。比如用户登录时，攻击者输入特殊构造的账号密码，可能绕过身份验证直接获取管理员权限，或者导出整个数据库的内容。这类攻击不需要高深的黑客技术，只要应用没有对用户输入做合理处理，就很容易被利用。

SQL注入的防御方案

1. 使用参数化查询

参数化查询是最有效的SQL注入防御手段，它将SQL语句和用户输入的数据分开处理，数据库不会把用户输入的内容当作SQL指令执行。以下是Java中使用PreparedStatement实现参数化查询的示例：

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class UserDao {
    public boolean checkLogin(String username, String password) {
        String sql = "SELECT * FROM user WHERE username = ? AND password = ?";
        try (Connection conn = DBUtil.getConnection();
             PreparedStatement ps = conn.prepareStatement(sql)) {
            // 设置参数，避免SQL注入
            ps.setString(1, username);
            ps.setString(2, password);
            ResultSet rs = ps.executeQuery();
            return rs.next();
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
    }
}

2. 输入内容校验与转义

对用户输入的内容做严格的格式校验，比如手机号、邮箱等字段只允许符合规则的字符输入。如果必须使用字符串拼接SQL的场景，要对特殊字符做转义处理，比如把单引号转义为两个单引号。以下是PHP中对用户输入做转义处理的示例：

$username = $_POST['username'];
$password = $_POST['password'];
// 转义特殊字符
$username = addslashes($username);
$password = addslashes($password);
$sql = "SELECT * FROM user WHERE username = '$username' AND password = '$password'";

3. 最小权限原则

给应用连接数据库的用户分配最小必要权限，比如只允许查询、插入操作的用户不要赋予删除、修改表结构的权限，这样即使发生SQL注入，攻击者能造成的破坏也会被限制。

上传文件的严格过滤规则

1. 文件类型校验

不要只依靠前端校验或者文件的扩展名判断文件类型，攻击者可以轻易修改扩展名绕过校验。应该读取文件的二进制头信息判断真实类型，以下是Python中通过文件头判断图片类型的示例：

def check_image_type(file_path):
    with open(file_path, 'rb') as f:
        file_header = f.read(4)
    # JPEG文件头 FF D8 FF E0
    if file_header[:4] == b'xffxd8xffxe0':
        return 'jpg'
    # PNG文件头 89 50 4E 47
    if file_header[:4] == b'x89x50x4ex47':
        return 'png'
    # GIF文件头 47 49 46 38
    if file_header[:4] == b'x47x49x46x38':
        return 'gif'
    return None

2. 文件大小限制

设置合理的上传文件大小上限，避免攻击者上传超大文件占用服务器存储空间，甚至引发拒绝服务攻击。可以在服务器配置和代码层面同时做限制，比如Nginx配置client_max_body_size参数，代码中校验文件字节数。

3. 存储路径与文件名处理

上传的文件不要保存在Web根目录下，避免攻击者直接访问执行。文件名不要使用用户上传的原始名称，应该重新生成随机文件名，比如使用UUID或者时间戳拼接随机字符串，防止路径遍历攻击。以下是Java中生成随机文件名的示例：

import java.util.UUID;

public class FileUtil {
    public static String generateFileName(String originalFilename) {
        // 获取文件扩展名
        String suffix = originalFilename.substring(originalFilename.lastIndexOf("."));
        // 生成随机文件名
        return UUID.randomUUID().toString().replace("-", "") + suffix;
    }
}

4. 禁止执行权限

上传文件的存储目录要设置禁止脚本执行权限，即使攻击者上传了恶意脚本文件，也无法在服务器上运行。比如Linux环境下可以给存储目录设置chmod -R 755权限，并且配置Web服务器不解析该目录下的脚本文件。

综合防护建议

除了上述针对SQL注入和文件上传的专项防御措施，还需要定期对应用做安全审计，更新框架和依赖组件的版本，修复已知的安全漏洞。同时可以在应用前端和后端都做输入校验，形成多层防御体系，最大程度降低安全风险。

SQL注入防御文件上传过滤 Web安全修改时间：2026-06-09 20:51:27

免责声明：已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰，观点力求客观中立。本站旨在免费分享，内容仅供个人学习、研究或参考使用。若引用了第三方作品，版权归原作者所有。如内容涉及您的权益，请联系我们处理。