ClickHouse作为高性能的列式分析数据库,在大数据查询场景中应用广泛,但如果在查询构建过程中直接拼接用户输入的内容,很容易产生SQL注入漏洞,威胁数据安全。通过参数化接口执行查询,能够将用户输入和SQL逻辑分离,从根源上避免注入风险。

ClickHouse中SQL注入的产生原因
当开发者直接将用户输入的内容拼接到SQL语句中时,恶意用户可以通过输入特殊字符改变原有SQL的逻辑。比如原本的查询是获取指定用户的数据,拼接后可能变成查询全表数据甚至执行删除操作。
例如下面这种不安全的查询构建方式:
-- 假设user_input是用户输入的内容,直接拼接到SQL中
SELECT * FROM user_table WHERE user_id = '{user_input}';
如果用户输入1 OR 1=1,最终执行的SQL会变成SELECT * FROM user_table WHERE user_id = '1 OR 1=1',就会返回表中所有用户数据,造成数据泄露。
参数化接口防止注入的原理
参数化接口的核心是将SQL语句的结构和参数值分开传递,数据库引擎会先解析SQL的结构,再将参数值作为纯粹的数据进行处理,不会对参数值中的特殊字符进行SQL逻辑解析,从而避免注入。
参数化查询的执行流程一般分为三步:
- 第一步:定义带有参数占位符的SQL模板,占位符通常用
?或者:param_name表示 - 第二步:将用户输入的参数值单独传递给数据库客户端
- 第三步:数据库客户端将SQL模板和参数值一起发送给ClickHouse服务端,服务端完成参数替换和执行
不同场景下的参数化查询实现
使用ClickHouse官方JDBC驱动
Java开发中可以使用ClickHouse的JDBC驱动实现参数化查询,示例如下:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
public class ClickHouseParamQuery {
public static void main(String[] args) throws Exception {
// 建立ClickHouse连接,地址为本地默认端口
Connection connection = DriverManager.getConnection("jdbc:clickhouse://127.0.0.1:8123/default", "default", "");
// 定义带参数占位符的SQL模板,?是参数占位符
String sql = "SELECT * FROM user_table WHERE user_id = ? AND age > ?";
// 创建预编译语句对象
PreparedStatement preparedStatement = connection.prepareStatement(sql);
// 设置第一个参数值为用户输入的user_id,假设用户输入为1001
preparedStatement.setInt(1, 1001);
// 设置第二个参数值为用户输入的最小年龄,假设用户输入为18
preparedStatement.setInt(2, 18);
// 执行查询
ResultSet resultSet = preparedStatement.executeQuery();
// 处理结果集
while (resultSet.next()) {
System.out.println("user_id: " + resultSet.getInt("user_id"));
System.out.println("user_name: " + resultSet.getString("user_name"));
}
// 关闭资源
resultSet.close();
preparedStatement.close();
connection.close();
}
}
使用Python clickhouse-driver客户端
Python开发中可以使用clickhouse-driver库实现参数化查询,示例如下:
from clickhouse_driver import Client
# 连接ClickHouse,地址为本地默认端口
client = Client(host='127.0.0.1', port=9000, user='default', password='')
# 定义带参数的SQL,使用%(param_name)s作为占位符
sql = "SELECT * FROM user_table WHERE user_id = %(user_id)s AND age > %(min_age)s"
# 传递参数字典,参数值会被安全处理
params = {
'user_id': 1001,
'min_age': 18
}
# 执行查询
result = client.execute(sql, params)
for row in result:
print(f"user_id: {row[0]}, user_name: {row[1]}")
使用HTTP接口的参数化查询
ClickHouse的HTTP接口也支持参数化查询,通过param_前缀传递参数,示例如下:
# 使用curl调用ClickHouse HTTP接口,传递参数
curl -X POST 'http://127.0.0.1:8123/?param_user_id=1001¶m_min_age=18'
-d "SELECT * FROM user_table WHERE user_id = {user_id} AND age > {min_age}"
这种方式下,参数通过URL的查询参数传递,SQL中的{user_id}和{min_age}会被替换为对应的参数值,且不会被解析为SQL逻辑的一部分。
参数化查询的注意事项
使用参数化接口时需要注意以下几点:
- 所有用户输入的、会参与SQL构建的内容都必须使用参数传递,不能有任何拼接操作
- 参数占位符只能用于值的位置,不能用于表名、字段名等SQL结构部分,如果需要动态指定表名,需要对表名做白名单校验
- 参数化查询不会影响ClickHouse的查询性能,预编译的SQL模板还可以被缓存复用,提升查询效率
需要注意的是,参数化查询只能防止SQL注入,不能替代其他安全措施,比如权限控制、数据加密等,需要结合多种手段保障ClickHouse的数据安全。
ClickHouse参数化查询SQL注入防护大数据查询修改时间:2026-06-28 15:00:27