URL参数是Web应用中最常见的用户输入来源之一,当用户访问带参数的页面时,参数会直接拼接在URL的QueryString部分传递。如果后端没有对这部分参数做安全处理,攻击者就可以构造包含恶意SQL片段的参数,触发SQL注入漏洞,造成数据泄露、数据篡改甚至服务器被控制等严重后果。

SQL注入的危害与常见攻击场景
SQL注入的核心原理是攻击者将恶意的SQL代码插入到用户输入的参数中,后端程序没有对参数做转义或过滤,直接把参数拼接到SQL语句里执行,最终导致非预期的SQL操作被执行。
比如一个常见的用户查询接口,原本的SQL语句是:
SELECT * FROM user WHERE id = ${req.query.id}
如果用户传入的id参数是1 OR 1=1,拼接后的SQL就会变成:
SELECT * FROM user WHERE id = 1 OR 1=1
这条语句会查询出所有用户数据,攻击者可以直接获取全量用户信息。如果参数构造得更复杂,甚至可以执行删表、写入恶意数据等危险操作。
为什么需要统一清洗QueryString
很多开发者会在每个业务接口里单独写参数过滤逻辑,这种方式存在两个明显的问题:
- 重复代码多,每个接口都要写一遍过滤逻辑,开发效率低
- 容易遗漏,新增接口时如果忘记加过滤逻辑,就会留下安全漏洞
利用中间件统一清洗QueryString可以完美解决这两个问题,中间件会在所有请求到达业务逻辑之前先处理参数,只需要写一次过滤逻辑,就能覆盖所有接口的URL参数,从入口层保障参数安全。
不同技术栈的中间件实现示例
Node.js Express框架实现
Express的中间件机制可以很方便地拦截所有请求,处理QueryString参数:
const express = require('express')
const app = express()
// 定义SQL注入关键词黑名单
const sqlInjectKeywords = ['select', 'insert', 'update', 'delete', 'drop', 'union', 'exec', '--', '/*', '*/']
// 统一清洗QueryString的中间件
const queryStringFilterMiddleware = (req, res, next) => {
if (req.query) {
// 遍历所有QueryString参数
for (const key in req.query) {
if (Object.prototype.hasOwnProperty.call(req.query, key)) {
let value = req.query[key]
if (typeof value === 'string') {
// 转义单引号,防止闭合SQL字符串
value = value.replace(/'/g, "''")
// 检测是否包含SQL注入关键词,包含则直接返回错误
const lowerValue = value.toLowerCase()
const hasInject = sqlInjectKeywords.some(keyword => lowerValue.includes(keyword))
if (hasInject) {
return res.status(400).json({ code: 400, msg: '参数包含非法内容' })
}
req.query[key] = value
}
}
}
}
next()
}
// 注册中间件,所有请求都会先经过这个中间件
app.use(queryStringFilterMiddleware)
// 业务接口示例
app.get('/user', (req, res) => {
const userId = req.query.id
// 这里的userId已经经过过滤,可以安全拼接SQL
res.send(`查询用户ID为${userId}的信息`)
})
app.listen(3000, () => {
console.log('服务启动在3000端口')
})
Java Spring Boot框架实现
Spring Boot可以通过自定义拦截器实现QueryString的统一过滤:
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.List;
@Component
public class QueryStringFilterInterceptor implements HandlerInterceptor {
// SQL注入关键词黑名单
private static final List<String> SQL_INJECT_KEYWORDS = Arrays.asList(
"select", "insert", "update", "delete", "drop", "union", "exec", "--", "/*", "*/"
);
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 获取所有QueryString参数
Map<String, String[]> parameterMap = request.getParameterMap();
for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) {
String[] values = entry.getValue();
if (values != null) {
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (value != null) {
// 转义单引号
value = value.replace("'", "''");
// 检测SQL注入关键词
String lowerValue = value.toLowerCase();
boolean hasInject = SQL_INJECT_KEYWORDS.stream().anyMatch(lowerValue::contains);
if (hasInject) {
response.setStatus(400);
response.getWriter().write("{"code":400,"msg":"参数包含非法内容"}");
return false;
}
values[i] = value;
}
}
}
}
return true;
}
}
然后在配置类里注册这个拦截器:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowired
private QueryStringFilterInterceptor queryStringFilterInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(queryStringFilterInterceptor).addPathPatterns("/**");
}
}
过滤规则的注意事项
实际使用中,过滤规则需要根据业务场景调整,避免过于严格影响正常业务:
- 如果业务参数确实需要包含部分关键词,可以把这些关键词加入白名单,或者调整检测逻辑
- 除了关键词检测,还可以对参数长度做限制,避免超长参数造成其他安全问题
- 对于特殊场景的参数,比如富文本相关的参数,需要单独做更细致的处理,不能只用通用的过滤规则
统一清洗QueryString是Web应用安全防护的基础操作,结合预编译SQL语句使用,可以最大程度降低SQL注入的风险,保障应用和数据的安全。
SQL注入QueryString中间件参数过滤Web安全修改时间:2026-06-29 22:03:37