SQL注入的原理？如何防御？

封面图 • 2025-10-13 • SQL Server

SQL注入（SQL Injection）是一种常见的网络安全漏洞，攻击者通过在输入中插入恶意的SQL代码，从而操控数据库查询，达到非法访问、篡改或删除数据的目的。

---

## 一、SQL注入的原理

### 1. **什么是SQL注入？**
SQL注入是指攻击者通过在应用程序的输入字段中插入恶意的SQL代码，使应用程序将这些代码当作合法的SQL语句执行。这样，攻击者可以绕过身份验证、读取敏感数据、修改数据库内容，甚至控制服务器。

### 2. **为什么会发生SQL注入？**
- 应用程序没有对用户输入进行过滤或转义。
- 使用了拼接字符串的方式构造SQL语句（例如：`SELECT * FROM users WHERE username = '` + input + `'`）。
- 没有使用参数化查询或预编译语句。

### 3. **示例（危险代码）**
```sql
-- 用户输入为: ' OR '1'='1
SELECT * FROM users WHERE username = '' OR '1'='1';
```
这个语句会返回所有用户记录，因为 `'1'='1'` 始终为真。

---

## 二、如何防御SQL注入？

### 1. **使用参数化查询（Prepared Statements）**
这是最有效的防御方式。通过将用户输入作为参数传递给SQL语句，而不是直接拼接字符串。

#### 示例（以Python为例）：
```python
cursor.execute("SELECT * FROM users WHERE username = %s", (username,))
```

#### 示例（以Java为例）：
```java
PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE username = ?");
stmt.setString(1, username);
ResultSet rs = stmt.executeQuery();
```

### 2. **输入验证**
对用户输入进行严格的校验，比如检查是否为数字、邮箱格式、长度限制等。

### 3. **使用ORM框架**
如Hibernate、Django ORM、SQLAlchemy等，它们内部已经处理了SQL注入问题。

### 4. **最小权限原则**
确保数据库账户只拥有必要的权限，避免使用具有高权限的账户连接数据库。

### 5. **使用Web应用防火墙（WAF）**
WAF可以识别并拦截一些常见的SQL注入攻击模式。

### 6. **避免动态拼接SQL语句**
尽量避免手动拼接SQL语句，使用存储过程或框架提供的安全方法。

### 7. **错误信息处理**
不要向用户显示详细的数据库错误信息，这可能被攻击者利用。

---

## 三、总结

| 防御方法 | 说明 |
|----------|------|
| 参数化查询 | 最有效的方法，防止恶意SQL代码执行 |
| 输入验证 | 对用户输入进行严格校验 |
| ORM框架 | 自动处理SQL注入问题 |
| 权限控制 | 使用最小权限账户 |
| WAF | 拦截已知的攻击模式 |
| 错误信息处理 | 不暴露数据库细节 |

---

如果你需要具体的编程语言示例（如PHP、Java、Python等），也可以告诉我，我可以提供更详细的内容。