跳到主要内容

三十九、MySQL 安全及防止 SQL 注入攻击

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库,那么就有可能发生 SQL注入攻击的安全问题

作为研发,有一条铁律需要记住,那就是

永远不要相信用户的数据,哪怕他一再承诺是安全的

SQL 注入式攻击

SQL 注入,就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令

比如有一个表单,用户可以输入 name

<?php 
$name = $_GET['name'];
$dbh->query("SELECT * FROM users WHERE name='{$name}'");

那么当用户输入的 namePython'; DELETE FROM user;' 时会变成什么?

SELECT * FROM users WHERE name='Python'; DELETE FROM user;'';

这条语句运行一下,会发现什么? 我们的 user 表被清空啦,很可怕,对不对

所以我们需要对用户的输入进行过滤处理

例如下面的 PHP 语句,要求用户输入的名称 name 必须是字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间

<?php 
if (preg_match("/^\w{8,20}$/", $_GET['name'], $matches))
    $dbh->query("SELECT * FROM tbl_language WHERE name=$matches[0]");
else
    echo "username 输入异常";

防止 SQL 注入要诀

防止SQL 注入,我们需要注意以下几个要点

1、 永远不要信任用户的输入;

对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双 "-" 进行转换等

2、 永远不要使用动态拼装SQL,可以使用SQL预处理语句;
3、 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;
4、 不要把机密信息直接存放,加密或者hash掉密码和敏感的信息;
5、 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装;