防止SQL注入的核心是避免用户输入拼接SQL语句。正确做法包括:使用预处理语句(如PDO或MySQLi)分离SQL结构与数据;对输入进行类型、长度和白名单验证;禁止动态拼接SQL;数据库账户遵循最小权限原则。三者结合可有效防御绝大多数SQL注入风险。
防止SQL注入的核心在于避免将用户输入直接拼接到SQL语句中。MySQL本身不能自动识别恶意输入,因此防护主要依赖开发层面的正确编码实践。以下是几种有效的防护方法。
使用预处理语句(Prepared Statements)
预处理语句是防止SQL注入最有效的方式之一。它通过将SQL结构与数据分离,确保用户输入被当作参数处理,而不是SQL代码的一部分。
- 在PHP中使用PDO或MySQLi扩展支持预处理:
PDO 示例:
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);
MySQLi 示例:
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
对输入进行过滤和验证
即使使用预处理,也应对接收的用户输入做基本校验,进一步提升安全性。
- 检查数据类型:如ID应为整数,邮箱需符合邮箱格式。
- 限制长度:防止超长输入引发潜在问题。
- 白名单验证:对于固定选项(如下拉菜单),只接受预定义值。
避免动态拼接SQL语句
不要将用户提交的数据直接拼入SQL字符串,这是SQL注入最常见的根源。
错误示例:
$sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
攻击者可输入 ' OR '1'='1 来绕过查询逻辑。
正确做法:始终使用预处理代替字符串拼接。
最小权限原则
数据库账户应遵循最小权限原则,降低被注入后的危害程度。
- 普通应用账号不应拥有DROP、CREATE等高危权限。
- 按业务需求分配读写权限,例如只读页面连接只读账户。
基本上就这些。关键不是靠MySQL自动防护,而是开发者主动使用安全编程方式。预处理语句+输入验证+权限控制,三者结合能有效杜绝绝大多数SQL注入风险。
