SQL注入是指攻击者通过在应用的输入参数中插入恶意SQL代码片段,改变原有SQL语句的执行逻辑,从而达到非法获取数据、修改数据甚至控制数据库的目的。这种攻击通常发生在应用直接拼接用户输入到SQL语句中的场景,是Web应用最常见的安全漏洞之一。

SQL注入的产生原理
当应用没有对用户输入做任何处理,直接把输入内容拼接到SQL语句中执行时,就可能出现注入问题。比如下面这段存在风险的代码:
<?php // 接收用户输入的用户名 $username = $_GET['username']; // 直接拼接SQL语句 $sql = "SELECT * FROM users WHERE username = '$username'"; // 执行查询 $result = mysqli_query($conn, $sql); ?>
如果攻击者输入username的值为' OR '1'='1,拼接后的SQL就会变成SELECT * FROM users WHERE username = '' OR '1'='1',这个条件永远成立,会返回所有用户数据。如果输入'; DROP TABLE users; --,甚至会直接删除用户表。
严格的输入验证实现方法
输入验证是指在接收用户输入后,先按照预设的规则校验输入内容是否符合要求,不符合的直接拒绝处理,从根源上减少恶意输入进入SQL执行环节的可能。
1. 数据类型验证
如果输入参数预期是数字类型,就先校验输入是否为合法数字,非数字的直接拦截。比如用户ID、分页参数等场景:
// Java中校验分页参数是否为正整数
public boolean validatePageParam(String pageStr) {
try {
int page = Integer.parseInt(pageStr);
return page > 0;
} catch (NumberFormatException e) {
return false;
}
}
2. 长度与格式验证
根据参数的实际用途限制输入长度,比如用户名最长20位,手机号固定11位。同时可以用正则表达式匹配符合要求的格式,比如邮箱、手机号等:
import re
# 校验手机号格式
def validate_phone(phone):
pattern = r'^1[3-9]d{9}$'
return re.match(pattern, phone) is not None
# 校验用户名长度和内容,只允许字母数字下划线,长度6-20位
def validate_username(username):
if len(username) < 6 or len(username) > 20:
return False
pattern = r'^[a-zA-Z0-9_]+$'
return re.match(pattern, username) is not None
3. 白名单验证
对于输入内容是固定选项的场景,比如排序字段、状态值等,使用白名单校验,只允许预设的合法值通过:
// 校验排序字段是否合法
function validateSortField(sortField) {
const allowedFields = ['id', 'create_time', 'update_time'];
return allowedFields.includes(sortField);
}
输入过滤的实现技巧
输入过滤是对输入内容中的特殊字符进行转义或剔除,避免这些字符被SQL解析器识别为语句的一部分。不过过滤只能作为辅助手段,不能替代参数化查询。
1. 特殊字符转义
不同数据库有特殊字符转义规则,比如MySQL中单引号需要转义为',以下是在PHP中使用内置函数转义的示例:
<?php // 使用MySQLi的转义函数处理用户输入 $username = mysqli_real_escape_string($conn, $_GET['username']); $sql = "SELECT * FROM users WHERE username = '$username'"; ?>
需要注意的是,转义函数依赖正确的字符集设置,否则可能失效。
2. 危险关键词过滤
可以过滤输入中的SQL关键字,比如SELECT、DROP、UNION等,但要注意过滤的完整性,避免攻击者用大小写混合、双写等方式绕过:
import re
def filter_sql_keywords(input_str):
# 定义需要过滤的关键词,不区分大小写
keywords = ['select', 'drop', 'union', 'insert', 'update', 'delete', 'exec']
pattern = re.compile('|'.join(keywords), re.IGNORECASE)
return pattern.sub('', input_str)
输入验证与过滤的配套防护措施
输入验证和过滤不能完全杜绝SQL注入,需要和参数化查询配合使用才能达到最好的效果。
参数化查询的使用
参数化查询会让数据库把输入内容当作纯参数处理,不会解析其中的SQL语法,从根本上避免注入问题:
// Java中使用PreparedStatement实现参数化查询 String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, username); ResultSet rs = pstmt.executeQuery();
最小权限原则
给应用连接数据库的用户分配最小必要权限,比如只给查询权限的账号就不要赋予删表、修改表结构的权限,即使发生注入也能降低损失。
常见防护误区
- 只做前端验证:前端验证可以被攻击者直接绕过,所有输入必须在后端再次校验。
- 用黑名单过滤代替白名单:黑名单很难覆盖所有恶意输入的情况,白名单的可靠性更高。
- 认为过滤后就可以不用参数化查询:过滤可能存在遗漏,参数化查询是更可靠的防护手段。
防范SQL注入是一个多层的防护过程,严格的输入验证和过滤是其中重要的基础环节,结合参数化查询、最小权限配置等手段,才能最大程度保障数据库的安全。