要预防 SQL 注入,主要防御手段是使用参数化查询(也称为预处理语句)。参数化查询通过首先定义所有 SQL 逻辑,然后将数据值绑定到占位符,从而将 SQL 代码与用户输入分开。这种方法确保用户输入被严格视为数据,而不是可执行代码。 例如,在使用 SQLite 的 Python 中,不要编写 cursor.execute(f"SELECT * FROM users WHERE name = '{user_input}'"),而应使用 cursor.execute("SELECT * FROM users WHERE name = ?", (user_input,))。 数据库引擎会自动转义 user_input 中的特殊字符,从而消除注入尝试。 大多数编程语言和框架(例如,使用 JDBC 的 Java,使用 PDO 的 PHP)都支持这种模式,使其成为通用的解决方案。
输入验证和清理提供额外的保护层。 根据严格的规则验证用户输入:完全拒绝无效数据,而不是试图“修复”它。 例如,如果某个字段期望数字 ID,请使用服务器端检查来确保输入仅包含数字。 对于文本字段,使用正则表达式来允许字符(例如,用户名使用字母数字和连字符)。 避免将引号或分号等“坏”字符列入黑名单,因为攻击者通常会找到绕过这些过滤器的方法。 诸如 PHP 的 mysqli_real_escape_string() 之类的清理工具可以转义危险字符,但是这种方法容易出错,不应替代参数化查询。 即使输入来自“受信任”的来源(如 cookie 或内部 API),也始终在使用它们之前验证它们。
使用其他保障措施来减少攻击面。 对象关系映射 (ORM) 库(如 SQLAlchemy 或 Hibernate)会自动生成参数化查询,从而减少手动 SQL 字符串操作。 限制数据库权限:应用程序帐户应仅具有所需的最低权限(例如,没有模式修改权限的 SELECT/INSERT 访问权限)。 在数据库中启用严格模式以拒绝格式错误的查询。 定期审核代码中的原始 SQL 连接,并使用诸如 SQLMap 之类的工具测试输入。 对于重写查询不可行的旧系统,请使用 Web 应用程序防火墙 (WAF) 来过滤可疑的负载,但这应视为临时修复。 结合这些实践可以创建针对 SQL 注入的深度防御策略。