当前位置：首页 > news >正文

SQL注入攻防全解析：防止数据库被黑的10大方法，附PHP/Java/Python代码示例彻底杜绝SQL注入：参数化查询+输入验证+WAF配置+ORM安全最佳实践

news 2026/5/12 19:18:03

SQL注入防护全面指南

一、什么是SQL注入

SQL注入是一种通过在输入中插入恶意SQL代码来攻击数据库的技术。攻击者利用应用程序对用户输入验证不严格，执行非预期的SQL命令。

二、SQL注入示例

漏洞代码（PHP示例）：

// 危险：直接拼接用户输入$username=$_POST['username'];$password=$_POST['password'];$sql="SELECT * FROM users WHERE username='$username' AND password='$password'";

攻击者输入：username = admin' --
生成SQL：SELECT * FROM users WHERE username='admin' --' AND password='xxx'
--是SQL注释，使密码验证失效。

三、多层防护策略

1.使用参数化查询（最有效）

将SQL代码与数据完全分离，防止数据被解释为命令。

PHP（PDO）：

$stmt=$pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");$stmt->execute([':username'=>$username,':password'=>$password]);

PHP（MySQLi）：

$stmt=$conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");$stmt->bind_param("ss",$username,$password);$stmt->execute();

Python（psycopg2）：

cursor.execute("SELECT * FROM users WHERE username = %s AND password = %s",(username,password))

Java（JDBC）：

PreparedStatementstmt=conn.prepareStatement("SELECT * FROM users WHERE username = ? AND password = ?");stmt.setString(1,username);stmt.setString(2,password);ResultSetrs=stmt.executeQuery();

2.输入验证和过滤

// 白名单验证（针对特定类型）if(!preg_match('/^[a-zA-Z0-9_]{3,20}$/',$username)){die('Invalid username format');}// 类型转换$user_id=(int)$_GET['id'];// 强制转换为整数// 过滤特定字符$search=str_replace(['%','_',"'",'"'],'',$search);

3.最小权限原则

为数据库用户分配最小必要权限：

-- 创建只读用户CREATEUSER'webapp'@'localhost'IDENTIFIEDBY'password';GRANTSELECTONdatabase.*TO'webapp'@'localhost';-- 需要写入时GRANTSELECT,INSERT,UPDATEONdatabase.usersTO'webapp'@'localhost';-- 不要轻易授予 DELETE, DROP 权限

4.存储过程

CREATEPROCEDUREGetUser(INp_usernameVARCHAR(50))BEGINSELECT*FROMusersWHEREusername=p_username;END

调用：

$stmt=$pdo->prepare("CALL GetUser(?)");$stmt->execute([$username]);

5.Web应用防火墙（WAF）规则

# Nginx配置防SQL注入 location / { set $block_sql_inject 0; if ($query_string ~ "union.*select.*\(") { set $block_sql_inject 1; } if ($block_sql_inject = 1) { return 403; } }

6.ORM框架

使用ORM（对象关系映射）可自动处理参数化：

# Django ORMUser.objects.filter(username=username,password=password)# SQLAlchemysession.query(User).filter(User.username==username)

四、防御深度策略

1.编码输出

// 输出时进行HTML编码echohtmlspecialchars($data,ENT_QUOTES,'UTF-8');// JSON输出header('Content-Type: application/json');echojson_encode($data,JSON_HEX_TAG|JSON_HEX_APOS|JSON_HEX_QUOT);

2.错误处理

// 生产环境关闭详细错误ini_set('display_errors',0);// 记录错误但不暴露给用户try{// 数据库操作}catch(PDOException$e){error_log("Database error: ".$e->getMessage());die("An error occurred. Please try again later.");}

3.定期安全扫描

# 使用sqlmap进行自检（仅用于测试环境）sqlmap -u"http://example.com/page?id=1"--batch# 使用工具检查代码# - Brakeman (Ruby)# - Bandit (Python)# - Find Security Bugs (Java)

五、完整示例

安全的PHP登录处理：

classAuth{private$pdo;publicfunction__construct($pdo){$this->pdo=$pdo;}publicfunctionlogin($username,$password){// 1. 输入验证if(!$this->validateInput($username,$password)){returnfalse;}// 2. 参数化查询$stmt=$this->pdo->prepare(" SELECT id, username, password_hash FROM users WHERE username = ? AND is_active = 1 ");$stmt->execute([$username]);$user=$stmt->fetch(PDO::FETCH_ASSOC);// 3. 密码验证（使用password_hash存储）if($user&&password_verify($password,$user['password_hash'])){// 4. 生成会话令牌$token=bin2hex(random_bytes(32));$this->storeSession($user['id'],$token);// 5. 设置安全的Cookiesetcookie('session_token',$token,['expires'=>time()+86400,'path'=>'/','secure'=>true,// 仅HTTPS'httponly'=>true,// 防XSS'samesite'=>'Strict']);returntrue;}// 6. 统一的错误消息（防止用户枚举）error_log("Failed login attempt for username:$username");returnfalse;}privatefunctionvalidateInput($username,$password){// 白名单验证if(!preg_match('/^[a-zA-Z0-9_]{3,30}$/',$username)){returnfalse;}// 密码长度限制if(strlen($password)<8||strlen($password)>128){returnfalse;}returntrue;}}