SQL注入防御技术方案_基于正则表达式的输入清洗

正则清洗不能防SQL注入,因其无法覆盖宽字节、编码混淆、函数嵌套等绕过方式;真正有效的是参数化查询、白名单校验字段名、最小数据库权限。正则清洗不能防SQL注入,别再写了正则表达式做输入清洗,对SQL注入基本无效。它既无法覆盖所有绕过方式,又容易因规则宽松放行恶意载荷、或规则严格误杀合法输入。真实攻击者早就不靠 ' 或 UNION 明文出现来注入了------用宽字节、注释符、编码混淆、函数嵌套,WHERE id = 1 AND (SELECT ...) 这类结构连正则都难识别边界。为什么 preg_replace + 黑名单永远漏报常见做法是用 preg_replace 过滤 SELECT、INSERT、--、/* 等关键词,但问题极多:大小写绕过:SeLeCt、%53%45%4c%45%43%54(URL编码)都不匹配内联注释干扰:SEL/**/ECT、SELEC/*abc*/T 拆开关键词仍可执行空格非必须:SELECT(id)FROM 在 MySQL 中合法,且无空格就逃过空格依赖型正则函数嵌套绕过:EXTRACTVALUE(1,CONCAT(0x7e,(SELECT ...))) 里没有一个关键词在黑名单中真正该用的三件事:参数化 + 白名单 + 最小权限防御SQL注入只有三条硬路,缺一不可:所有动态拼接的查询,必须用 mysqli_prepare 或 PDO::prepare + bind_param,变量进 ? 占位符,数据库引擎自动隔离语义若必须拼接表名/字段名(如动态排序),只允许从预定义白名单中取值:valid_fields = \['name', 'created_at', 'status'\];,用 in_array(input, $valid_fields, true) 校验数据库连接账号去掉 FILE、PROCESS、GRANT OPTION 等高危权限,限制只能查指定库表正则唯一能用的场景:格式校验,不是防注入正则可以且应该用在「输入是否符合业务格式」上,和SQL安全无关: RedClaw 百度推出的手机端万能AI Agent助手

相关推荐
冷静的楼房7 分钟前
使用ThreadPool发起同步的调用
数据库
一个天蝎座 白勺 程序猿7 分钟前
自动SQL优化实战|吃透调优接口+报告配置+统计+索引全流程落地
数据库·sql·sql优化
大鱼>9 分钟前
模型可解释性:特征重要性/SHAP/LIME
人工智能·python·机器学习·lstm
TDengine (老段)11 分钟前
# TDengine TMQ 最佳实践 — 可靠消费、容错与监控
大数据·数据库·物联网·时序数据库·iot·tdengine·涛思数据
代码不接地15 分钟前
【时间序列预测】0.时间序列任务知识地图
python·ai编程
许彰午1 小时前
77_Python数据清洗实战技巧
开发语言·python
杨云龙UP1 小时前
Windows SQL Server 备份无法传输至异地共享目录排查处理
运维·服务器·数据库·windows·共享·smb·异地备份传输
落寞的电源1 小时前
Delegate = Object + MethodInfo
开发语言·数据库·c#
Sam09271 小时前
【AI 算法精讲 16】BPE 分词:从字节对到子词
人工智能·python·算法·ai