mysql like 防注入,三十九、MySQL 安全及防止 SQL 注入攻击

太过爱你忘了你带给我的痛 2023-01-13 13:56 309阅读 0赞

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题

作为研发，有一条铁律需要记住，那就是

永远不要相信用户的数据，哪怕他一再承诺是安全的

SQL 注入式攻击

SQL 注入，就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令

比如有一个表单，用户可以输入 name

$name = $\_GET\['name'\];

$dbh->query("SELECT \* FROM users WHERE name='\{$name\}'");

那么当用户输入的 name 为 Python'; DELETE FROM user;' 时会变成什么？

SELECT \* FROM users WHERE name='Python'; DELETE FROM user;'';

这条语句运行一下，会发现什么？ 我们的 user 表被清空啦，很可怕，对不对

所以我们需要对用户的输入进行过滤处理

例如下面的 PHP 语句，要求用户输入的名称 name 必须是字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间

if (preg\_match("/^\\w\{8,20\}$/", $\_GET\['name'\], $matches))

$dbh->query("SELECT \* FROM tbl\_language WHERE name=$matches\[0\]");

else

echo "username 输入异常";

防止 SQL 注入要诀

防止 SQL 注入，我们需要注意以下几个要点

1、 永远不要信任用户的输入

对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双 "-" 进行转换等

2、 永远不要使用动态拼装 SQL ，可以使用 SQL 预处理语句

3、 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接

4、 不要把机密信息直接存放，加密或者 hash 掉密码和敏感的信息

5、 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6、 SQL 注入的检测方法一般采取辅助软件或网站平台来检测

防止 SQL 注入

Perl和 PHP 中可以对用户输入的数据进行转义从而来防止 SQL 注入

PHP 中可以使用 PHP\_PDO 的 PDO:prepare() 方法来预处理 SQL 语句，然后使用 PDOStatement::bindParam() 方法绑定参数，或者在 PDOStatement::execute() 传入参数来预防 SQL 注入

$stmt = $dbh->prepare("SELECT \* FROM tbl\_language WHERE name=?");

$stmt->execute(array$\_GET\['name'\]));

LIKE 子句语句中的 SQL 注入

使用 LIKE 子句查询时，如果用户输入的值有 \_ 或 %，则会出现下面这种情况

用户本来只是想查询 abcd%，查询结果中却有 abcd\_、abcde、abcdf 等等

PHP 脚本中，我们首先要使用 addcslashes($name,"%\_") 对输入的字符进行转义，然后使用 PHP\_PDO 的 PDO:prepare() 方法来预处理 SQL 语句，然后使用 PDOStatement::bindParam() 方法绑定参数，或者在 PDOStatement::execute() 传入参数来预防 SQL 注入

$name = 'thon%';

$name = addcslashes($name,"%\_");

$stmt = $dbh->prepare("SELECT \* FROM tbl\_language WHERE name LIKE ? ");

$stmt->execute(array( '%'.$name));

干货推荐

附录：MySQL 教程：系列文章

发表评论取消回复

表情：

评论列表（有 0 条评论，309人围观）

还没有评论，来说两句吧...

相关阅读

相关安全疑虑：如何防止MySQL数据库被SQL注入攻击

SQL注入是常见的数据库安全威胁，攻击者通过在输入数据中插入恶意SQL代码，以获取、修改或删除数据库信息。以下是防止SQL注入攻击的一些方法： 1. **参数化查询**：

叁歲伎倆/ 2025年01月22日 02:30/ 0 赞/ 4 阅读

相关 SQL注入攻击：Oracle防止SQL注入的安全措施

Oracle数据库中防止SQL注入的安全措施主要包括以下几个方面： 1. 参数化查询：这是Oracle和其他数据库系统最常用的预防SQL注入的方法。通过在查询语句中使用参数占

妖狐艹你老母/ 2025年01月19日 18:18/ 0 赞/ 8 阅读

相关 SQL注入风险：如何防止MySQL中的SQL注入攻击

防止MySQL中的SQL注入攻击，通常需要遵循以下几个步骤： 1. **参数化查询**：使用预编译的SQL语句（如`PreparedStatement`或`PDO::

向右看齐/ 2025年01月07日 14:15/ 0 赞/ 28 阅读

相关 SQL注入风险防范：MySQL防止SQL注入攻击的有效措施

防止SQL注入攻击在MySQL环境中主要有以下几个有效措施： 1. **参数化查询**：这是最直接也是最有效的预防方式。通过预先定义SQL语句中的占位符，然后将实际值作为参

梦里梦外;/ 2025年01月06日 15:12/ 0 赞/ 31 阅读

相关 MySQL安全配置：如何有效防止SQL注入和XSS攻击

MySQL是常见的关系型数据库，为防止SQL注入和XSS攻击，你需要在以下几个方面进行配置： 1. **参数化查询**：使用预编译的语句或者存储过程（PROCEDUR

悠悠/ 2025年01月04日 19:51/ 0 赞/ 29 阅读

相关如何在MySQL中防止SQL注入攻击

在MySQL中防止SQL注入攻击，可以采取以下几个策略： 1. **参数化查询**：使用预编译的SQL语句来替代手动输入变量。例如使用`mysqli_prepare(

向右看齐/ 2025年01月03日 23:00/ 0 赞/ 35 阅读

相关 MySQL：理解并防止的SQL注入攻击

SQL注入攻击是一种常见的网络安全威胁，它利用应用程序不正确的处理用户输入的方式，向数据库服务器发送恶意的SQL命令，从而获取、修改或删除敏感数据。以下是一些理解和预防SQ

妖狐艹你老母/ 2025年01月03日 16:15/ 0 赞/ 21 阅读

相关 MySQL数据库安全加固：防止SQL注入、XSS攻击等实例

MySQL数据库是常见的Web服务，其安全性至关重要。以下是一些防止SQL注入和XSS攻击的实例： 1. **参数化查询**： - 利用`mysqli`或`PDO`的预

待我称王封你为后i/ 2024年12月24日 13:24/ 0 赞/ 36 阅读

相关 MySQL安全防护：防止SQL注入、XSS攻击及密码策略实施案例

在MySQL数据库中，确保安全免受SQL注入、XSS攻击等威胁是非常重要的。以下是一些具体的案例： 1. **防止SQL注入**： - 案例一：在用户注册时，使用参数化

怼烎@/ 2024年12月16日 09:18/ 0 赞/ 36 阅读

相关 mysql like 防注入,三十九、MySQL 安全及防止 SQL 注入攻击

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题作为研发，有一条铁律需要记住，那就是永远不要相信用户的数据，哪怕

太过爱你忘了你带给我的痛/ 2023年01月13日 13:56/ 0 赞/ 310 阅读