防止SQL注入攻击的关键在于避免将用户输入直接拼接到SQL语句中。在MySQL中,最有效的方法是使用预处理语句(Prepared Statements)结合参数化查询。这种方式能确保用户输入被当作数据处理,而不是SQL代码执行。
使用预处理语句(推荐方式)
预处理语句会先发送带有占位符的SQL模板到数据库,再传入用户数据,数据库会自动对数据进行转义和类型检查。
以PHP为例,使用PDO:$pdo = new PDO($dsn, $username, $password);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);
$user = $stmt->fetch();
使用命名占位符更清晰:$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->bindParam(':email', $email);
$stmt->execute();
对输入进行验证和过滤
即使使用预处理语句,也应限制用户输入的格式和长度,进一步降低风险。
验证邮箱、手机号等是否符合标准格式 限制字符串长度,避免异常长的输入 对特殊字符如单引号、分号、注释符号进行检测或拒绝避免拼接SQL字符串
任何时候都不要将用户提交的数据直接拼进SQL语句。
错误示例:$sql = "SELECT * FROM users WHERE id = " . $_GET['id'];这种写法极易被利用,例如传入
1 OR 1=1可导致数据泄露。
最小权限原则
数据库账户应按需分配权限。Web应用连接数据库的账号不应拥有不必要的权限,如删除表、修改结构或执行系统命令。
普通查询使用只读或读写权限 禁用DROP、TRUNCATE等高危操作权限 避免使用root或管理员账户连接数据库基本上就这些。核心是永远不信任用户输入,坚持使用参数化查询,配合输入验证和权限控制,就能有效抵御SQL注入攻击。
