带例子的基础SQL注入和缓解

阅读更多：MySQL 教程

什么是SQL注入？

SQL注入是指攻击者在用户输入的参数中注入SQL语句的一种攻击方式，从而达到非法操作数据库的目的。在Web开发中，常见并危害极大的一种攻击手段。
下面我将通过一个例子进行阐述。

一个简单的示例

我们假设有一个网站，用于用户登录管理后台，后台登录接口为：

$username = $_POST['username'];
$password = $_POST['password'];

$sql = "SELECT * FROM user WHERE username = '{$username}' AND password = '{$password}'";
$result = mysql_query($sql);

以上代码中，将从用户通过POST方式提交的username和password构造出一个SQL语句，并执行查询。如果$username或$password中含有攻击者构造的恶意注入代码，那么就可能导致查询的结果不正确，甚至数据库被攻击者篡改。

比如攻击者通过提交表单，将username的值改为 ' or '1'='1，password的值改为 ' or 1=1 --，那么构造的SQL语句将变为以下代码：

SELECT * FROM user WHERE username='' or '1'='1' AND password='' or 1=1 --'

由于or 1=1永远成立，并且--是SQL中的注释符，将忽略注释符后面的所有内容。所以在不检查用户输入的情况下，很容易被攻击者利用实现非法操作。

如何缓解SQL注入攻击？

我们可以通过一些简单的方式来缓解SQL注入攻击：

1. 对用户输入进行过滤
   • 对特殊字符进行过滤，如单引号、双引号、反斜杠等。
   • 使用白名单机制对输入进行验证，只允许输入特定格式的字符。
2. 使用 prepared statement/preparedStatement 参数化语句
   • 参数化语句可以将参数与SQL语句分开，从而避免将用户输入作为SQL语句的一部分。
   • 一些主流的Web框架和ORM（Object-Relational Mapping，对象关系映射）库都提供了安全的prepared statement实现，如Java中的JDBC，Python中的SQLAlchemy等。

下面是修改后的代码：

$username = mysqli_real_escape_string($_POST['username']);
$password = mysqli_real_escape_string($_POST['password']);

//使用prepared statement
$stmt = $mysqli->prepare("SELECT * FROM user WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();

修改后的代码使用了mysqli_real_escape_string函数进行参数过滤，避免了注入攻击。同时，使用了prepared statement对参数化查询。其中bind_param将查询中的占位符与变量名绑定。

结论

在Web开发中，SQL注入攻击是比较常见的一种攻击手段。为了避免这种攻击，我们可以对用户输入进行过滤或使用prepared statement/preparedStatement参数化语句。其中prepared statement是更为安全的方式，建议在开发中优先选择。希望大家注意数据的安全性，避免造成不必要的损失。