mysql like 防注入,三十九、MySQL 安全及防止 SQL 注入攻击

太过爱你忘了你带给我的痛 2023-01-13 13:56 383阅读 0赞

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题

作为研发，有一条铁律需要记住，那就是

永远不要相信用户的数据，哪怕他一再承诺是安全的

SQL 注入式攻击

SQL 注入，就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令

比如有一个表单，用户可以输入 name

$name = $\_GET\['name'\];

$dbh->query("SELECT \* FROM users WHERE name='\{$name\}'");

那么当用户输入的 name 为 Python'; DELETE FROM user;' 时会变成什么？

SELECT \* FROM users WHERE name='Python'; DELETE FROM user;'';

这条语句运行一下，会发现什么？ 我们的 user 表被清空啦，很可怕，对不对

所以我们需要对用户的输入进行过滤处理

例如下面的 PHP 语句，要求用户输入的名称 name 必须是字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间

if (preg\_match("/^\\w\{8,20\}$/", $\_GET\['name'\], $matches))

$dbh->query("SELECT \* FROM tbl\_language WHERE name=$matches\[0\]");

else

echo "username 输入异常";

防止 SQL 注入要诀

防止 SQL 注入，我们需要注意以下几个要点

1、 永远不要信任用户的输入

对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双 "-" 进行转换等

2、 永远不要使用动态拼装 SQL ，可以使用 SQL 预处理语句

3、 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接

4、 不要把机密信息直接存放，加密或者 hash 掉密码和敏感的信息

5、 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6、 SQL 注入的检测方法一般采取辅助软件或网站平台来检测

防止 SQL 注入

Perl和 PHP 中可以对用户输入的数据进行转义从而来防止 SQL 注入

PHP 中可以使用 PHP\_PDO 的 PDO:prepare() 方法来预处理 SQL 语句，然后使用 PDOStatement::bindParam() 方法绑定参数，或者在 PDOStatement::execute() 传入参数来预防 SQL 注入

$stmt = $dbh->prepare("SELECT \* FROM tbl\_language WHERE name=?");

$stmt->execute(array$\_GET\['name'\]));

LIKE 子句语句中的 SQL 注入

使用 LIKE 子句查询时，如果用户输入的值有 \_ 或 %，则会出现下面这种情况

用户本来只是想查询 abcd%，查询结果中却有 abcd\_、abcde、abcdf 等等

PHP 脚本中，我们首先要使用 addcslashes($name,"%\_") 对输入的字符进行转义，然后使用 PHP\_PDO 的 PDO:prepare() 方法来预处理 SQL 语句，然后使用 PDOStatement::bindParam() 方法绑定参数，或者在 PDOStatement::execute() 传入参数来预防 SQL 注入

$name = 'thon%';

$name = addcslashes($name,"%\_");

$stmt = $dbh->prepare("SELECT \* FROM tbl\_language WHERE name LIKE ? ");

$stmt->execute(array( '%'.$name));

干货推荐

附录：MySQL 教程：系列文章

发表评论取消回复

表情：

评论列表（有 0 条评论，383人围观）

还没有评论，来说两句吧...

相关阅读

相关 MySQL中如何防止SQL注入攻击？

在MySQL中防止SQL注入攻击通常有以下几个步骤： 1. **参数化查询**： MySQL 5.7及更高版本支持参数化查询（Prepared Statements）。例如

╰半橙微兮°/ 2025年03月22日 16:03/ 0 赞/ 42 阅读

相关安全防护不当：MySQL防止SQL注入攻击方法

MySQL防止SQL注入攻击的方法主要有以下几个方面： 1. **参数化查询**：使用预编译语句（如`PreparedStatement`）来执行SQL，而不是直接拼

你的名字/ 2025年03月03日 02:12/ 0 赞/ 61 阅读

相关安全问题：如何防止MySQL遭受SQL注入攻击？

防止MySQL遭受SQL注入攻击，可以从以下几个方面进行： 1. **参数化查询**：使用预编译语句（如`PreparedStatement`）来执行SQL。这种方式

港控/mmm°/ 2025年03月02日 19:51/ 0 赞/ 76 阅读

相关 SQL注入攻击：MySQL防止SQL注入的措施

MySQL数据库防SQL注入的主要措施包括： 1. **参数化查询**：这是最直接且有效的方式。在编写SQL语句时，不是直接拼接用户输入，而是使用预编译的SQL语句，将参数

Dear 丶/ 2025年03月01日 12:51/ 0 赞/ 84 阅读

相关 SQL注入攻击：MySQL如何防止此类安全问题？

SQL注入攻击是一种常见的Web应用程序安全威胁，它利用数据库解析漏洞，插入、修改或删除数据库中的数据。以下是MySQL防止SQL注入攻击的一些常见方法： 1. **参数

梦里梦外;/ 2025年02月25日 10:57/ 0 赞/ 71 阅读

相关 MySQL：如何防止SQL注入攻击？

防止SQL注入攻击是数据库安全的重要环节。以下是几种常见的防范策略： 1. **参数化查询**：使用预编译语句（如`PreparedStatement`在Java中，

曾经终败给现在/ 2025年02月23日 17:54/ 0 赞/ 87 阅读

相关 SQL注入风险防控策略：MySQL防止注入攻击实例

防止SQL注入攻击，主要在编写数据库交互代码时采取以下策略： 1. **参数化查询**： MySQL以及其他支持参数化查询的数据库系统都提供了这种方式。通过传递预定义的

布满荆棘的人生/ 2025年02月02日 16:18/ 0 赞/ 77 阅读

相关安全疑虑：如何防止MySQL数据库被SQL注入攻击

SQL注入是常见的数据库安全威胁，攻击者通过在输入数据中插入恶意SQL代码，以获取、修改或删除数据库信息。以下是防止SQL注入攻击的一些方法： 1. **参数化查询**：

叁歲伎倆/ 2025年01月22日 02:30/ 0 赞/ 101 阅读

相关 SQL注入攻击：Oracle防止SQL注入的安全措施

Oracle数据库中防止SQL注入的安全措施主要包括以下几个方面： 1. 参数化查询：这是Oracle和其他数据库系统最常用的预防SQL注入的方法。通过在查询语句中使用参数占

妖狐艹你老母/ 2025年01月19日 18:18/ 0 赞/ 106 阅读

相关 mysql like 防注入,三十九、MySQL 安全及防止 SQL 注入攻击

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题作为研发，有一条铁律需要记住，那就是永远不要相信用户的数据，哪怕

太过爱你忘了你带给我的痛/ 2023年01月13日 13:56/ 0 赞/ 384 阅读