防止SQL注入攻击的关键在于不拼接用户输入到SQL语句中,尤其是来自前端或外部接口的数据。MySQL本身不能自动防御SQL注入,必须在应用层采取正确的措施。以下是几种有效的方法:
使用预处理语句(Prepared Statements)
预处理语句是防止SQL注入最可靠的方式。它将SQL语句的结构与数据分离,数据库先解析语句模板,再填入参数值,确保参数不会被当作SQL代码执行。
以PHP为例,使用PDO:
$pdo = new PDO($dsn, $user, $pass); $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?"); $stmt->execute([$username, $password]); $user = $stmt->fetch();使用命名占位符更清晰:
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email"); $stmt->bindParam(':email', $email); $stmt->execute();对输入进行过滤和验证
不要相信任何用户输入。对数据类型、格式、长度做严格校验。
邮箱字段应通过 filter_var($email, FILTER_VALIDATE_EMAIL) 验证 整数ID应使用 (int)$id 转换或 is_numeric() 判断 限制字符串长度,避免超长输入例如:
if (!is_numeric($user_id)) { die("非法ID"); } $user_id = (int)$user_id;避免动态拼接SQL
以下写法非常危险,极易被注入:
$unsafe_sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";攻击者只需输入 ' OR '1'='1 就能绕过查询限制。任何时候都不要直接拼接变量到SQL中。
最小权限原则
为数据库用户分配最小必要权限。Web应用通常不需要 DROP、ALTER 或 DELETE 全表的权限。
普通查询用户只授予 SELECT、UPDATE、INSERT 避免使用 root 或高权限账户连接数据库基本上就这些。核心是永远不要信任用户输入,坚持用预处理语句,配合输入验证,就能有效杜绝SQL注入。
