如何防范SQL注入攻击？

SQL 注入攻击是一种严重威胁数据库安全的手段，下面从多个方面介绍防范 SQL 注入攻击的方法：

输入验证与过滤

• 白名单验证：对用户输入进行严格的白名单验证，即只允许特定字符或格式的输入。例如，若用户输入的是数字类型，可使用正则表达式验证输入是否为纯数字。

import re

user_input = "123"
if re.match(r'^\d+$', user_input):
    # 输入为纯数字，可继续处理
    pass
else:
    # 输入不符合要求，给出错误提示
    print("输入必须为纯数字！")

• 输入长度限制：对用户输入的长度进行限制，避免攻击者输入过长的恶意代码。例如，在表单设计时，为输入字段设置合理的最大长度。

使用参数化查询

• 原理：参数化查询将 SQL 语句和用户输入的数据分离开来，数据库会自动处理输入的数据，避免恶意代码被当作 SQL 语句的一部分执行。
• 示例：
  • Python 结合 SQLite：

import sqlite3

# 连接数据库
conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# 用户输入
username = "test"
password = "password"

# 参数化查询
query = "SELECT * FROM users WHERE username =? AND password =?"
cursor.execute(query, (username, password))

# 获取查询结果
results = cursor.fetchall()

# 关闭连接
cursor.close()
conn.close()

• Java 结合 JDBC：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class ParameterizedQueryExample {
    public static void main(String[] args) {
        try {
            // 连接数据库
            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "username", "password");
            // 用户输入
            String username = "test";
            String password = "password";
            // 参数化查询
            String query = "SELECT * FROM users WHERE username =? AND password =?";
            PreparedStatement pstmt = conn.prepareStatement(query);
            pstmt.setString(1, username);
            pstmt.setString(2, password);
            // 执行查询
            ResultSet rs = pstmt.executeQuery();
            // 处理结果
            while (rs.next()) {
                // 处理结果集
            }
            // 关闭资源
            rs.close();
            pstmt.close();
            conn.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

 

存储过程

• 原理：存储过程是预先编译好的 SQL 代码块，存储在数据库中。调用存储过程时，用户输入作为参数传递，数据库会按照存储过程的逻辑执行，减少了 SQL 注入的风险。
• 示例（MySQL）：

-- 创建存储过程
DELIMITER //
CREATE PROCEDURE GetUser(IN p_username VARCHAR(255), IN p_password VARCHAR(255))
BEGIN
    SELECT * FROM users WHERE username = p_username AND password = p_password;
END //
DELIMITER ;

-- 调用存储过程
CALL GetUser('test', 'password');

 

最小权限原则

• 原理：为数据库用户分配最小的权限，使其只能执行必要的操作。例如，一个只需要查询数据的应用程序，不应该具有修改或删除数据的权限。
• 操作：在数据库管理系统中，创建不同权限的用户角色，并根据应用程序的需求为其分配相应的权限。

输出编码

• 原理：对从数据库中获取的数据进行编码处理，确保在输出到前端页面时不会被恶意利用。例如，将特殊字符转换为 HTML 实体。
• 示例（Python 的 Flask 框架）：

from flask import Flask, escape

app = Flask(__name__)

@app.route('/')
def index():
    data = "<script>alert('XSS')</script>"
    # 对数据进行编码
    encoded_data = escape(data)
    return f"Data: {encoded_data}"

if __name__ == '__main__':
    app.run()

 

定期更新与监控

• 更新数据库和应用程序：及时更新数据库管理系统和应用程序的版本，修复已知的安全漏洞。
• 监控日志：定期检查数据库和应用程序的日志，及时发现异常的 SQL 查询和操作，以便采取相应的措施。