SQL注入防护不能只靠预处理,权限隔离才是第一道防线
MySQL 中仅用
PREPARE+
EXECUTE或 ORM 的参数化查询,并不能完全规避风险。攻击者一旦拿到一个具备
SELECT权限的账号,仍可能通过报错、延时、布尔盲注等方式探测结构;若该账号还能执行
INSERT或
UPDATE,甚至可写入恶意 payload 触发二次利用。真正有效的防护,是让每个应用账号只拥有「刚好够用」的最小权限,并与业务逻辑强绑定。
如何为 Web 应用创建最小权限账号(含 SQL 注入缓解效果)
权限粒度必须精确到库、表、列,且禁用高危操作。例如一个用户登录模块,只需查
users表的
username和
password_hash字段,其他一概不给:
CREATE USER 'web_login'@'10.20.30.%' IDENTIFIED BY 'strong_pwd_2024'; GRANT SELECT (username, password_hash) ON myapp.users TO 'web_login'@'10.20.30.%'; REVOKE INSERT, UPDATE, DELETE, DROP, CREATE, ALTER, EXECUTE, FILE, PROCESS, SUPER ON *.* FROM 'web_login'@'10.20.30.%'; FLUSH PRIVILEGES;
SELECT权限限定在具体字段,避免
SELECT *泄露敏感列(如
is_admin、
api_token) 显式
REVOKE所有高危权限,尤其
FILE(可读写服务器文件)、
PROCESS(可查看其他会话 SQL)、
SUPER(可绕过大多数限制) 主机白名单用子网(如
'10.20.30.%')而非
'%',防止账号被横向复用 避免使用
GRANT ... WITH GRANT OPTION,防止权限扩散
为什么存储过程 + DEFINER 权限能降低注入危害
把核心查询逻辑封装进存储过程中,并用低权限账号调用,可天然阻断大部分注入路径。关键点在于:调用者无需表级权限,只依赖存储过程自身的
DEFINER权限上下文执行。
DELIMITER $$ CREATE DEFINER = 'dba_secure'@'localhost' PROCEDURE sp_get_user_by_name(IN p_name VARCHAR(64)) READS SQL DATA SQL SECURITY DEFINER BEGIN SELECT id, username, role FROM users WHERE username = p_name; END$$ DELIMITER ; GRANT EXECUTE ON PROCEDURE myapp.sp_get_user_by_name TO 'web_login'@'10.20.30.%';
SQL SECURITY DEFINER表示以
DEFINER账号权限运行,调用者不需要
SELECT权限 即使攻击者构造
p_name = "admin' OR '1'='1",也只能影响
WHERE子句中的等值判断——因为参数已作为字符串字面量传入,不会改变语句结构 但注意:若过程内拼接了动态 SQL(如
CONCAT('SELECT ... WHERE name = ''', p_name, '''')),依然会中招
权限管理失效的典型场景与排查方式
很多团队配了权限却仍被攻破,问题往往出在权限未实时生效或存在隐式覆盖:
忘记执行FLUSH PRIVILEGES—— 特别是在直接修改
mysql.user表后,权限缓存不会自动刷新 同一用户存在多个 Host 匹配项(如
'user'@'10.20.30.5'和
'user'@'%'),MySQL 按 host 排序取最具体的规则,容易误判实际生效权限 使用
root或
mysql.sys账号连接应用,等于把整个数据库钥匙挂在代码里 权限检查绕过:某些中间件(如 ProxySQL)或连接池(如 HikariCP)配置了 auto-commit=false + 多语句支持(
allowMultiQueries=true),可能让
SELECT 1; DROP TABLE users;这类多语句注入得逞
验证当前连接实际权限,直接查
SHOW GRANTS FOR CURRENT_USER();,别信配置文件或文档里的“应该”。权限不是写完就安全,而是每次连接都得重新校验上下文。
