mysql如何防止SQL注入攻击
防止SQL注入的关键是使用预处理语句并验证输入。1. 使用PDO预处理语句分离SQL结构与数据;2. 通过bindParam或execute传递参数;3. 对用户输入进行类型、格式和长度校验;4. 禁止拼接SQL字符串;5. 遵循数据库最小权限原则,避免高权限账户连接。
型、格式和长度校验;4. 禁止拼接SQL字符串;5. 遵循数据库最小权限原则,避免高权限账户连接。防止SQL注入攻击的关键在于不拼接用户输入到SQL语句中,尤其是来自前端或外部接口的数据。MySQL本身不能自动防御SQL注入,必须在应用层采取正确的措施。以下是几种有效的方法:
使用预处理语句(Prepared Statements)
预处理语句是防止SQL注入最可靠的方式。它将SQL语句的结构与数据分离,数据库先解析语句模板,再填入参数值,确保参数不会被当作SQL代码执行。
以PHP为例,使用PDO:
- $pdo = new PDO($dsn, $user, $pass);
- $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
- $stmt->execute([$username, $password]);
- $user = $stmt->fetch();
使用命名占位符更清晰:
- $stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
- $stmt->bindParam(':email', $email);
- $stmt->execute();
对输入进行过滤和验证
不要相信任何用户输入。对数据类型、格式、长度做严格校验。
- 邮箱字段应通过 filter_var($email, FILTER_VALIDATE_EMAIL) 验证
- 整数ID应使用 (int)$id 转换或 is_numeric() 判断
- 限制字符串长度,避免超长输入
例如:
- if (!is_numeric($user_id)) { die("非法ID"); }
- $user_id = (int)$user_id;
避免动态拼接SQL
以下写法非常危险,极易被注入:
$unsafe_sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";攻击者只需输入 ' OR '1'='1 就能绕过查询限制。任何时候都不要直接拼接变量到SQL中。
最小权限原则
为数据库用户分配最小必要权限。Web应用通常不需要 DROP、ALTER 或 DELETE 全表的权限。
- 普通查询用户只授予 SELECT、UPDATE、INSERT
- 避免使用 root 或高权限账户连接数据库
基本上就这些。核心是永远不要信任用户输入,坚持用预处理语句,配合输入验证,就能有效杜绝SQL注入。
