如何防止SQL注入攻击？

SQL 注入教程

• SQL 注入原理：用户通过浏览器提交变量内容，而应用程序对提交的数据未进行过滤，直接拼接到数据库查询语句中，导致攻击者可以通过构造特殊的输入来改变原本的查询逻辑，获取或篡改数据库中的敏感信息。

SQL 注入示例

• 判断注入点：假设存在一个新闻列表页面new_list.php，其链接参数为id。正常访问http://example.com/new_list.php?id=1，数据库执行select * from news where id=1。可以尝试提交http://example.com/new_list.php?id=1 and 1=1，若页面返回正常，再尝试http://example.com/new_list.php?id=1 and 1=2，若返回内容为空，说明该参数可能存在注入点。
• 判断字段数量：通过order by N来判断，如http://example.com/new_list.php?id=1 order by 1，若返回正常，继续尝试order by 2、order by 3等，直到返回内容不正常，可确定字段数量。假设到order by 4时返回不正常，说明字段数少于 4 个。
• 联合查询获取信息：若确定有 3 个字段，可以使用union select进行联合查询，如http://example.com/new_list.php?id=1 and 1=2 union select 1,2,3，根据返回结果进一步获取数据库版本、用户信息等，例如http://example.com/new_list.php?id=1 and 1=2 union select 1,version(),3可获取数据库版本信息。

防止 SQL 注入的方法

• 对用户输入进行严格校验：通过正则表达式、限制长度等方式对用户输入进行验证，转换单引号、双引号等特殊字符。
• 使用参数化查询或存储过程：避免动态拼装 SQL 语句，将用户输入作为参数传递给查询，这样可以防止 SQL 注入攻击。
• 限制数据库权限：为应用程序使用单独的权限有限的数据库连接，避免使用管理员权限连接数据库。
• 加密敏感信息：对密码和敏感信息进行加密或哈希处理，而不是直接存储明文。
• 屏蔽详细的错误信息：应用的异常信息应给出尽可能少的提示，使用自定义错误- - 信息包装原始错误信息，防止攻击者通过错误信息获取数据库结构等敏感信息。