如何预防 SQL 注入？

迷南。 2022-05-27 08:39 146阅读 0赞

## 简介 ##

SQL 注入就是通过把 SQL 命令插入到 Web 表单提交或输入页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 语句的目的。

具体来说，SQL 注入就是利用现有应用程序的漏洞，将恶意的 SQL 命令注入到后台数据库引擎，从而执行恶意的 SQL 命令，实现对数据库甚至整个应用程序的攻击。

SQL 注入主要是通过在表单中输入带 SQL 命令的字符串。

## SQL 注入的原理 ##

SQL 注入攻击通过构建特殊的输入作为参数传入应用程序，而这些输入大都是 SQL 语法里的一些组合， 这些组合会改变应用程序中原有的 SQL 语句，这样，原本正常的 SQL 就变成了恶意的 SQL。这就是 SQL 注入的原理。

### SQL 注入的产生原因 ###

*  应用程序没有细致地过滤用户输入的数据，导致非法数据侵入系统。
 *  应用程序对数据库的 SQL 操作，本身就存在漏洞。

## SQL 注入的示例 ##

下面简单描述一个通过 SQL 注入绕过登录验证的例子。

假如：有一个登录验证的 SQL 为：

SELECT * FROM users WHERE name='user01' AND password=md5('123456')

现在，有一个攻击者，在登录表单的用户名处，直接输入：

' or 1=1 #

然后，随便输入的密码，如 abc123，点击登录。

这时，原先的 SQL 就变成了恶意的 SQL：

SELECT * FROM users WHERE name='' or 1=1 #' AND password=md5('abc123')

注： 在 MySQL 中，\# 号表示注释。

可以发现，这个恶意 SQL 的 where 条件永远为真。这样，攻击者就绕过了登录验证，进入了存在 SQL 漏洞的应用程序。

当然，SQL 注入攻击不仅仅是绕过登录验证。

## 预防 SQL 注入的措施 ##

SQL 注入的危害非常大，我们必须进行预防。

可以结合以下两种措施来有效防止 SQL 注入。

*  过滤用户的输入。永远不要相信用户的输入，我们必须对用户输入的数据进行细致严格地过滤。比如，可使用 PHP 的 htmlspecialchars() 函数将字符串中的特殊字符转化为 HTML 实体字符。
 *  操作数据库时，使用预处理和参数绑定。推荐使用 PDO 来操作数据库。

发表评论取消回复

表情：

评论列表（有 0 条评论，146人围观）

还没有评论，来说两句吧...

相关阅读

相关通过PreparedStatement预防SQL注入

通过PreparedStatement预防SQL注入简介：本文只讲PreparedStatement预防SQL注入的写法，大家学会就好。推荐学习路线：[JDBC数

深碍√TFBOYSˉ_/ 2024年03月31日 11:19/ 0 赞/ 31 阅读

相关如何防止SQL注入

防止SQL注入是保护你的应用程序免受恶意用户利用数据库查询进行攻击的重要步骤之一。以下是一些防止SQL注入的方法：使用参数化查询（Prepared Statements）：

港控/mmm°/ 2024年03月24日 19:35/ 0 赞/ 45 阅读

相关【怎么预防sql注入，以及还有预防其他的什么网络攻击】

SQL注入是一种常见的Web攻击，通过在Web应用程序中注入恶意SQL语句来获取或修改数据库中的数据。为了防止SQL注入，开发者可以采取以下措施： 1、使用参数化查询（Pre

以你之姓@/ 2023年10月04日 22:01/ 0 赞/ 8 阅读

相关 java 最新sql注入原因以及预防方案(易理解)

前沿在现有的框架中sql防注入已经做得很好了，我们需要做的就是尽量不要使用sql拼接调用 java sql注入原因以及预防方案(易理解) 1. SQL注入

清疚/ 2023年01月03日 14:17/ 0 赞/ 119 阅读

相关如何防止SQL注入

\-----解决方案\-------------------------------------------------------- 过滤URL中的一些特殊字符，动态SQ

ゝ一纸荒年。/ 2022年09月17日 13:22/ 0 赞/ 203 阅读

相关如何防止sql注入？防止sql注入方法介绍

一、什么叫SQL注入攻击？sql注入简介 SQL注入是较为普遍的互联网攻击方法，它并不是通过电脑操作系统的BUG来完成攻击，而是对于程序编写时的疏漏，利用SQL语句，达到

约定不等于承诺〃/ 2022年08月30日 14:57/ 0 赞/ 269 阅读

相关如何预防 SQL 注入？

简介 SQL 注入就是通过把 SQL 命令插入到 Web 表单提交或输入页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 语句的目的。具体来说，SQL 注入

迷南。/ 2022年05月27日 08:39/ 0 赞/ 147 阅读

相关如何防止sql注入

SQL注入攻击的总体思路：发现SQL注入位置；判断服务器类型和后台数据库类型；确定可执行情况对于有些攻击者而言，一般会采取sql注入法。下面我也谈一下自己关于sql注

r囧r小猫/ 2022年05月22日 08:48/ 0 赞/ 247 阅读

相关 thinkphp3.2预防sql注入及对查询的sql过滤

thinkphp3.2预防sql注入、对查询的sql过滤对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面

水深无声/ 2022年03月26日 01:52/ 0 赞/ 67 阅读

相关 PHP 预防CSRF、XSS、SQL注入攻击(综合版)

【简约版】主要通过校验用户输入信息，过滤用户输入信息，以及关闭错误信息显示等方法。一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行，

我就是我/ 2022年01月09日 17:27/ 0 赞/ 309 阅读