网站留言板作为用户提交反馈、发布内容的常用功能,是SQL注入攻击的高发区域。很多开发者在初期开发时为了赶进度,会直接使用字符串拼接的方式构造SQL语句,同时没有对用户输入的内容做转义处理,这就给攻击者留下了可乘之机。攻击者只需要在留言内容中插入特殊的SQL片段,就能绕过验证逻辑获取数据库中的敏感信息,甚至直接删除整个留言表的数据。

SQL注入漏洞的产生原因
传统的留言板提交逻辑中,获取用户输入后直接拼接SQL语句是漏洞的核心来源。比如下面的代码就是典型的危险写法:
<?php
// 危险示例:直接拼接用户输入构造SQL
$conn = new mysqli("127.0.0.1", "root", "password", "msg_db");
$user_input = $_POST['content']; // 用户提交的留言内容,未做任何处理
$sql = "INSERT INTO messages (content) VALUES ('" . $user_input . "')";
$conn->query($sql);
?>
如果攻击者在留言内容中输入'); DROP TABLE messages; --,拼接后的SQL就会变成删除整个留言表的危险语句,造成不可逆的数据损失。
第一步:对输入内容做HTML转义
HTML转义的作用是避免用户输入的HTML标签、特殊字符被浏览器解析执行,同时也能避免部分特殊字符干扰SQL语句的拼接。PHP中可以使用htmlspecialchars函数实现转义,它会把<、>、&、"、'这些字符转换成对应的HTML实体。
<?php // 对用户输入做HTML转义 $raw_input = $_POST['content']; // ENT_QUOTES参数表示同时转义单引号和双引号,编码使用UTF-8 $safe_input = htmlspecialchars($raw_input, ENT_QUOTES, 'UTF-8'); ?>
转义后的内容如果包含<script>alert(1)</script>这样的恶意脚本,会被转换成<script>alert(1)</script>,浏览器只会把它当作普通文本显示,不会执行脚本,也就避免了XSS攻击风险。
第二步:使用预编译语句处理SQL逻辑
预编译语句的核心原理是先把SQL语句的结构发送给数据库编译,之后再把用户输入的参数单独传递给数据库,数据库不会把参数当作SQL指令的一部分来解析,从根源上避免了SQL注入。
以MySQLi为例,预编译的正确写法如下:
<?php
$conn = new mysqli("127.0.0.1", "root", "password", "msg_db");
// 检查连接是否成功
if ($conn->connect_error) {
die("数据库连接失败: " . $conn->connect_error);
}
// 准备预编译SQL,?是参数占位符
$stmt = $conn->prepare("INSERT INTO messages (content) VALUES (?)");
// 绑定参数,s表示参数是字符串类型
$stmt->bind_param("s", $safe_input);
// 执行语句
$stmt->execute();
// 关闭语句和连接
$stmt->close();
$conn->close();
?>
如果使用PDO扩展,预编译的写法更加简洁:
<?php
try {
$pdo = new PDO("mysql:host=127.0.0.1;dbname=msg_db;charset=utf8", "root", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 准备预编译SQL
$stmt = $pdo->prepare("INSERT INTO messages (content) VALUES (:content)");
// 绑定参数并执行
$stmt->execute([':content' => $safe_input]);
} catch (PDOException $e) {
echo "操作失败: " . $e->getMessage();
}
?>
完整的留言板提交修复示例
把HTML转义和预编译结合起来,就得到了安全的留言板提交完整逻辑:
<?php
// 仅处理POST请求
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
// 1. 获取并转义用户输入
$raw_content = $_POST['content'] ?? '';
$safe_content = htmlspecialchars($raw_content, ENT_QUOTES, 'UTF-8');
// 2. 使用预编译插入数据库
$conn = new mysqli("127.0.0.1", "root", "password", "msg_db");
if (!$conn->connect_error) {
$stmt = $conn->prepare("INSERT INTO messages (content, create_time) VALUES (?, NOW())");
$stmt->bind_param("s", $safe_content);
if ($stmt->execute()) {
echo "留言提交成功";
} else {
echo "留言提交失败";
}
$stmt->close();
$conn->close();
}
}
?>
<!-- 留言提交表单 -->
<form method="post" action="">
<textarea name="content" rows="5" cols="50" placeholder="请输入留言内容"></textarea>
<br/>
<button type="submit">提交留言</button>
</form>
修复后的验证方法
完成修复后,可以通过以下方式验证漏洞是否已经被修复:
- 在留言内容中输入单引号、双引号、SQL注释符等特殊字符,检查数据是否能正常存入数据库,没有报错
- 输入
'; DROP TABLE messages; --这类恶意内容,确认留言表没有被删除,数据正常插入 - 输入
<script>alert(1)</script>,查看页面展示时是否会弹出提示框,正常情况应该只显示文本
只要同时做好HTML转义和预编译处理,就能彻底解决留言板的SQL注入和XSS相关安全风险,保障网站数据的安全性。