MySQL如何防止SQL注入并过滤SQL中注入的字符

更新时间：2024年02月26日 11:23:52 作者：liujiaping

SQL注入是指在输入参数中添加一些特殊字符(例如单引号),使输入的语句成为一段单独的可执行的SQL语句,这篇文章主要给大家介绍了关于MySQL如何防止SQL注入并过滤SQL中注入字符的相关资料,需要的朋友可以参考下

SQL注入可能是目前互联网上存在的最丰富的编程缺陷。这是未经授权的人可以访问各种关键和私人数据的漏洞。 SQL注入不是Web或数据库服务器中的缺陷，而是由于编程实践较差且缺乏经验而导致的。它是从远程位置执行的最致命和最容易的攻击之一。

我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。

以下实例中，输入的用户名必须为字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间：

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
   $result = mysqli_query($conn, "SELECT * FROM users 
                          WHERE username=$matches[0]");
}
 else 
{
   echo "username 输入异常";
}

让我们看下在没有过滤特殊字符时，出现的SQL情况：

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
 mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}'");

以上的注入语句中，我们没有对 $name 的变量进行过滤，$name 中插入了我们不需要的SQL语句，将删除 users 表中的所有数据。

在PHP中的 mysqli_query() 是不允许执行多个 SQL 语句的，但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的，所以我们对这些用户的数据需要进行严格的验证。

防止SQL注入，我们需要注意以下几个要点：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双”-“进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。

MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

防止SQL注入

在脚本语言，如Perl和PHP你可以对用户输入的数据进行转义从而来防止SQL注入。

PHP的MySQL扩展提供了mysqli_real_escape_string()函数来转义特殊的输入字符。

if (get_magic_quotes_gpc()) 
{
  $name = stripslashes($name);
}
$name = mysqli_real_escape_string($conn, $name);
 mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}'");

Like语句中的注入

like查询时，如果用户输入的值有”“和”%”，则会出现这种情况：用户本来只是想查询”abcd“，查询结果中却有”abcd_”、”abcde”、”abcdf”等等；用户要查询”30%”（注：百分之三十）时也会出现问题。

在PHP脚本中我们可以使用addcslashes()函数来处理以上情况，如下实例：

$sub = addcslashes(mysqli_real_escape_string($conn, "%something_"), "%_");
// $sub == \%something\_
 mysqli_query($conn, "SELECT * FROM messages WHERE subject LIKE '{$sub}%'");

addcslashes() 函数在指定的字符前添加反斜杠。

语法格式:

addcslashes(string,characters)

参数	描述
string	必需。规定要检查的字符串。
characters	可选。规定受 addcslashes() 影响的字符或字符范围。

下面是在开发过程中可以避免 SQL 注入的一些方法

1. 避免使用动态SQL

避免将用户的输入数据直接放入 SQL 语句中，最好使用准备好的语句和参数化查询，这样更安全。

2. 不要将敏感数据保留在纯文本中

加密存储在数据库中的私有/机密数据，这样可以提供了另一级保护，以防攻击者成功地排出敏感数据。

3. 限制数据库权限和特权

将数据库用户的功能设置为最低要求；这将限制攻击者在设法获取访问权限时可以执行的操作。

4. 避免直接向用户显示数据库错误

攻击者可以使用这些错误消息来获取有关数据库的信息。

总结

到此这篇关于MySQL如何防止SQL注入并过滤SQL中注入字符的文章就介绍到这了,更多相关MySQL防止SQL注入内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

MYSQL大小写不敏感导致用户登录异常问题
这篇文章主要介绍了MYSQL大小写不敏感导致用户登录异常问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-04-04
MySQL数据库迁移全过程
本文详细解析了MySQL数据库迁移的整个过程,包括准备工作、迁移方法、注意事项和优缺点,文章介绍了三种常见的迁移方法：使用mysqldump导出和导入、使用ibd文件迁移和使用目录整体迁移,每种方法都有其优缺点,选择合适的方法取决于具体的迁移需求和环境
2025-02-02
MySQL数据库实现MMM高可用群集架构
这篇文章主要介绍了MySQL数据库实现MMM高可用群集架构，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-12-12
mysql 读写分离（实战篇）
MySQL Proxy最强大的一项功能是实现“读写分离(Read/Write Splitting)”。
2009-04-04
mysql 5.7.17 winx64解压版安装配置方法图文教程
这篇文章主要为大家详细介绍了mysql 5.7.17 winx64解压版安装配置方法图文教程，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2019-06-06
MySQL主从同步原理介绍
这篇文章主要介绍了MySQL主从同步原理介绍,本文讲解了主从同步概述、主从同步需求、主从同步过程等内容,需要的朋友可以参考下
2015-07-07
MySQL数据库用户权限管理
这篇文章主要介绍了MySQL数据库用户权限管理，文章主要内容就是在不同的项目中，给不同的角色（开发者）不同的操作权限，保证数据库数据的安全，需要的朋友可以参考一下
2022-06-06
PHP学习之SQL语句快速入门
在学校php过程中，需要用得到的一些语句。比较简单的大家一定要掌握啊。
2010-03-03
MySQL8新特性：自增主键的持久化详解
MySQL8.0 GA版本发布了，展现了众多新特性，下面这篇文章主要给大家介绍了关于MySQL8新特性：自增主键的持久化的相关资料，文中通过示例代码介绍的非常详细，需要的朋友可以参考借鉴，下面随着小编来一起学习学习吧
2018-07-07
Win10下mysql 8.0.20 安装配置方法图文教程
这篇文章主要为大家详细介绍了Win10下mysql 8.0.20 安装配置方法图文教程，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2020-05-05