SQL注入防护必须采用参数化查询或协议层中间件,禁用字符串替换、黑名单过滤及已废弃函数;ORDER BY和IN需白名单或动态占位符;业务字段中隐藏的SQL需重新校验或改用JSON存储。SQL注入过滤不能靠字符串替换手写 str_replace 或正则去删 '、;、UNION 这类操作,本质是无效的。攻击者用宽字节、编码绕过、注释符分隔、大小写混用就能轻松 bypass。比如 %df%27 在某些 GBK 环境下会吃掉转义符,让单引号"复活";又比如 SEL/**/ECT 也能绕过简单关键词拦截。真正有效的过滤必须发生在语义层,而不是字符层。这意味着:要么用参数化查询彻底隔离数据与逻辑,要么用经过充分审计的中间件在协议解析后做策略拦截。不要对用户输入做"黑名单式清洗",尤其别碰 mysql_real_escape_string(已废弃)或自己实现的 escape_sql如果必须在应用层做前置过滤(如日志采集、非查询类字段校验),只允许白名单字符集,例如手机号只留 0-9,邮箱用标准格式校验,而非"去掉所有 SQL 关键字"注意:任何过滤逻辑都应在参数绑定前完成,否则可能干扰 ORM 或驱动的参数处理流程优先用数据库驱动原生的参数化查询绝大多数现代语言的数据库驱动都支持真正的参数化(prepared statement),它把 SQL 结构和数据分开传输,服务端根本不会把参数当 SQL 解析。这才是防注入的底层保障,比任何中间件都可靠。比如 PHP 的 PDO::prepare、Python 的 cursor.execute("SELECT * FROM user WHERE id = %s", user_id)、Java 的 PreparedStatement ------ 它们不是"语法糖",是协议级隔离。避免用字符串拼接构造查询,哪怕你刚做过 htmlspecialchars 或 intval,也不能替代参数化注意 ORDER BY 和 IN 子句无法直接参数化:前者需白名单枚举(如 'created_at', 'name'),后者要用占位符动态生成(如 WHERE id IN (?, ?, ?))某些 ORM(如 Laravel Eloquent)默认启用预处理,但显式调用 DB::raw() 或 whereRaw() 会退出安全路径,必须人工核对选用成熟中间件时重点看拦截位置和兼容性像 sqlmap 这类工具能轻易绕过 WAF 层面的规则匹配,所以真正可用的中间件得插在数据库协议解析之后、执行之前,比如 MySQL 的 audit plugin、PostgreSQL 的 pgaudit,或者代理层如 ProxySQL + 自定义 query rule。 Trenz AI驱动的社交电商营销平台,专为TikTok Shop设计
相关推荐
Samooyou6 小时前
RAG项目案例--02在线检索&过滤流水线动能小子ohhh6 小时前
DocForge平台的设计与开发--文件上传接口的实现满天星83035776 小时前
【Qt】信号和槽(二) (自定义信号和槽)ab_dg_dp6 小时前
Android 17+ 提取 AIDL 生成 Java 文件的实用脚本夏语灬6 小时前
cryptography:Python 密码学标准库的终极选择我不介意孤独7 小时前
04-记忆系统为什么向量数据库不够用CTA终结者7 小时前
期货开仓前保证金够吗:get_account 可用与占用字段对照开源量化GO7 小时前
夜盘白盘衔接几分钟误下单:天勤交易时段与行情过滤J-Tony117 小时前
【JVM】三色标记法AOwhisky7 小时前
MySQL 学习笔记(第六期):MySQL 备份与恢复