防止SQL注入是保障MySQL数据库安全的重要环节。攻击者通过在输入中插入恶意SQL代码,可能绕过认证、窃取数据甚至删除信息。要有效防范,需从开发规范、编码实践和数据库配置多方面入手。
使用预处理语句(Prepared Statements)
预处理语句是防止SQL注入最有效的方法之一。它将SQL语句结构与参数分离,确保用户输入不会被当作SQL代码执行。
PHP + PDO 示例:使用占位符绑定参数,避免拼接SQL字符串。$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);
String sql = "SELECT * FROM users WHERE email = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setString(1, userEmail);
ResultSet rs = ps.executeQuery();
对输入进行严格验证与过滤
所有外部输入都应视为不可信,必须进行类型、格式和长度校验。
对数字字段使用 intval() 或类型转换。 对字符串限制长度,过滤特殊字符(如单引号、分号、注释符 -- 和 #)。 使用正则表达式匹配合法输入模式,例如邮箱、手机号等。最小权限原则配置数据库账户
应用程序连接数据库的账号不应使用 root 或高权限账户。
为应用创建专用账号,仅赋予其必要的操作权限(如只读、指定表的增删改查)。 禁用不必要的数据库功能,如文件操作(LOAD_FILE, INTO OUTFILE)。 避免在SQL中使用动态拼接表名或字段名,这类操作难以参数化,风险极高。开启错误信息屏蔽与日志监控
生产环境中应关闭详细的数据库错误提示,防止泄露表结构等敏感信息。
PHP 中设置 display_errors = Off,记录错误到日志文件。 定期审查数据库访问日志,发现异常查询行为及时响应。 使用Web应用防火墙(WAF)可识别并拦截典型SQL注入特征。基本上就这些。关键在于坚持使用参数化查询,并结合输入验证和权限控制,就能大幅降低SQL注入风险。安全不是单一措施能保证的,而是层层设防的结果。
