SQL注入防御技术方案_基于正则表达式的输入清洗

正则清洗不能防SQL注入,因其无法覆盖宽字节、编码混淆、函数嵌套等绕过方式;真正有效的是参数化查询、白名单校验字段名、最小数据库权限。正则清洗不能防SQL注入,别再写了正则表达式做输入清洗,对SQL注入基本无效。它既无法覆盖所有绕过方式,又容易因规则宽松放行恶意载荷、或规则严格误杀合法输入。真实攻击者早就不靠 ' 或 UNION 明文出现来注入了------用宽字节、注释符、编码混淆、函数嵌套,WHERE id = 1 AND (SELECT ...) 这类结构连正则都难识别边界。为什么 preg_replace + 黑名单永远漏报常见做法是用 preg_replace 过滤 SELECT、INSERT、--、/* 等关键词,但问题极多:大小写绕过:SeLeCt、%53%45%4c%45%43%54(URL编码)都不匹配内联注释干扰:SEL/**/ECT、SELEC/*abc*/T 拆开关键词仍可执行空格非必须:SELECT(id)FROM 在 MySQL 中合法,且无空格就逃过空格依赖型正则函数嵌套绕过:EXTRACTVALUE(1,CONCAT(0x7e,(SELECT ...))) 里没有一个关键词在黑名单中真正该用的三件事:参数化 + 白名单 + 最小权限防御SQL注入只有三条硬路,缺一不可:所有动态拼接的查询,必须用 mysqli_prepare 或 PDO::prepare + bind_param,变量进 ? 占位符,数据库引擎自动隔离语义若必须拼接表名/字段名(如动态排序),只允许从预定义白名单中取值:valid_fields = \['name', 'created_at', 'status'\];,用 in_array(input, $valid_fields, true) 校验数据库连接账号去掉 FILE、PROCESS、GRANT OPTION 等高危权限,限制只能查指定库表正则唯一能用的场景:格式校验,不是防注入正则可以且应该用在「输入是否符合业务格式」上,和SQL安全无关: RedClaw 百度推出的手机端万能AI Agent助手

相关推荐
这个DBA有点耶7 小时前
NULL不是空——数据库里最反直觉的设计,90%新人踩过的坑
数据库·mysql·代码规范
用户8356290780518 小时前
Python 实现 PDF 文件加密与解密方法
后端·python
用户8356290780518 小时前
使用 Python 冻结与拆分 Excel 窗格教程
后端·python
这个DBA有点耶9 小时前
AI写的SQL跑崩了生产库,这锅谁背?
数据库·人工智能·程序员
镜舟科技10 小时前
Databricks 再提 LTAP,AI 时代的数据底座为何重回大一统叙事?
数据库·架构·agent
Databend11 小时前
从湖仓升级为 Agent 时代的数据控制面,Snowflake 和 Databricks 有哪些布局
大数据·数据库·agent
ClouGence14 小时前
SQL Server CDC 能放到 Always On 备库读吗?一文讲透原理与实践
数据库·sql server
你好潘先生16 小时前
别再记命令了,用 yeero do 说句人话就能跑脚本,而且不烧 token
服务器·python·命令行
Agent_大师16 小时前
WebSocket 行情重连成功,K线缺口不会自动消失
python
荣码16 小时前
LLM结构化输出:让AI返回JSON而不是废话,我踩了4个坑
java·python