如何防止数据库服务器的 SQL 注入攻击

防止 SQL 注入攻击需要从代码开发、数据库配置到安全运维的全流程防护。以下是详细且可操作的防护策略和步骤：

---

### **1. 参数化查询（预编译语句）**

#### **核心原理**

将用户输入的数据与 SQL 语句逻辑分离，确保输入内容仅作为数据而非代码执行。

#### **实现方式**

- **示例（不同语言）**

```python

# Python (使用 psycopg2 连接 PostgreSQL)

cursor.execute("SELECT * FROM users WHERE email = %s;", (user_email,))

```

```java

// Java (JDBC)

PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE username = ?");

stmt.setString(1, userInput);

```

```csharp

// C# (ADO.NET)

using (SqlCommand cmd = new SqlCommand("SELECT * FROM users WHERE id = @id", connection)) {

cmd.Parameters.AddWithValue("@id", userId);

}

```

#### **注意事项**

- **避免拼接 SQL**：即使使用参数化查询，动态拼接 SQL（如 `"WHERE field = " + variable`）仍可能被注入。

- **ORM 框架**：如 Entity Framework、Hibernate 等默认支持参数化，但仍需避免直接拼接查询。

---

### **2. 输入验证与过滤**

#### **白名单验证**

- **格式验证**：强制输入符合特定格式（如邮箱、日期、数字范围）。

```javascript

// 前端验证邮箱格式（需结合后端验证）

const emailRegex = /^[^\s@]+@[^\s@]+\.[^\s@]+$/;

if (!emailRegex.test(userEmail)) throw Error("Invalid email");

```

- **类型验证**：确保输入类型正确（如数字类型避免接收字符串）。

#### **黑名单过滤**

- **转义特殊字符**：对单引号（`'`）、分号（`;`）、注释符（`--`）等进行转义。

- 示例（PHP）：

```php

$safe_input = mysqli_real_escape_string($conn, $user_input);

```

- **注意**：此方法仅作为补充，不可替代参数化查询。

---

### **3. 最小权限原则**

#### **数据库账户权限控制**

- 应用连接数据库的账户应仅拥有最小权限：

```sql

-- MySQL 示例：禁止删除表权限

GRANT SELECT, INSERT, UPDATE ON app_db.* TO 'app_user'@'%';

REVOKE DROP, ALTER ON app_db.* FROM 'app_user'@'%';

```

- **禁用管理员账户**：禁止应用直接使用 `root` 或 `sa` 账户。

#### **存储过程权限**

- 仅授权执行必要的存储过程：

```sql

GRANT EXECUTE ON PROCEDURE GetUserData TO 'app_user';

```

---

### **4. 数据库安全加固**

#### **禁用危险功能**

- **关闭不必要功能**：

- **MSSQL**：禁用 `xp_cmdshell`

```sql

EXEC sp_configure 'xp_cmdshell', 0;

RECONFIGURE;

```

- **MySQL**：禁用 `FILE` 权限

```sql

REVOKE FILE ON *.* FROM 'user'@'host';

```

#### **加密敏感数据**

- **哈希存储密码**：使用强哈希算法（如 bcrypt、Argon2）。

```python

# Python 示例（使用 bcrypt）

import bcrypt

hashed_password = bcrypt.hashpw(password.encode('utf-8'), bcrypt.gensalt())

```

- **加密通信**：强制使用 TLS/SSL 连接数据库（如 MySQL 的 `REQUIRE SSL`）。

---

### **5. Web 应用防火墙（WAF）**

#### **部署与配置**

- **拦截规则**：识别常见攻击特征（如 `UNION SELECT`、`1=1`）。

- **ModSecurity 规则示例**：

```apache

SecRule ARGS "@contains '" "id:1000,deny,msg:'SQL Injection Attempt'"

```

- **云服务集成**：

- AWS WAF、Cloudflare 提供预定义的 SQL 注入防护规则集。

---

### **6. 安全审计与测试**

#### **自动化扫描工具**

- **SQLMap**：用于渗透测试，验证防护有效性。

```bash

sqlmap -u "http://example.com/login?user=test" --risk=3 --level=5

```

- **OWASP ZAP**：自动化漏洞扫描工具。

#### **代码审查**

- 检查所有 SQL 操作是否使用参数化查询。

- 使用静态代码分析工具（如 SonarQube）。

---

### **7. 错误处理与日志监控**

#### **禁止暴露敏感信息**

- **自定义错误页面**：避免返回数据库错误详情。

```xml

```

#### **日志分析**

- 监控异常请求（如高频 `500` 错误、含特殊字符的输入）。

- 使用 ELK Stack（Elasticsearch、Logstash、Kibana）集中管理日志。

---

### **8. 开发规范与培训**

#### **团队培训**

- 强调 SQL 注入的危害及防护方法。

- 提供安全编码手册，强制使用参数化查询。

#### **代码规范示例**

- **禁止写法**：

```java

String query = "SELECT * FROM users WHERE name = '" + input + "'";

```

- **强制写法**：

```java

PreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE name = ?");

stmt.setString(1, input);

```

---

### **总结：分层防御体系**

| **层级** | **措施** |

|----------------|--------------------------------------------------------------------------|

| **代码层** | 参数化查询 + 输入验证 + ORM 框架 |

| **权限层** | 最小化数据库账户权限 + 禁用危险功能 |

| **架构层** | WAF + 数据库 TLS 加密 + 存储过程 |

| **运维层** | 日志监控 + 定期渗透测试 + 安全补丁更新 |

| **管理层** | 开发规范 + 团队培训 + 安全审计 |

---

通过以上多层次的防护措施，可有效阻断 SQL 注入攻击。最终目标是构建一个从代码到基础设施的完整防御链条，而非依赖单一技术。