我要投稿

如何彻底防SQL注入（防SQL注入攻击的几种方式及优劣对比分析）

发布日期：2025-04-07 08:42:03 浏览次数： 838 来源：护卫神

SQL注入漏洞是网站安全防护中最常见的漏洞之一，也是黑客最喜欢的攻击途径，因为发起SQL注入攻击非常简单，使用注入攻击工具就可以轻松实施入侵，但防范SQL注入攻击却非常困难。

首先我们来了解一下什么是SQL注入。

我们以后台登录功能为例，在数据库查询时，一般使用如下SQL代码：

select * from [users] where username='用户名' and password='密码'

如果用户名填写admin，密码填写：123456，完整的SQL语句就是：

select * from [users] where username='admin' and password='123456'

如果有返回结果，表示账户和密码是正确的。看起来是没问题，但如果简单改一下，把密码改为：123' or 'a'='a'

完整的SQL语句就成了：

select * from [users] where username='admin' and password='123' or 'a'='a'

很显然a=a是成立的，数据库就会返回记录，黑客也就成功进入系统了。

那么如何彻底防护SQL注入攻击呢？

严格讲，没有彻底防护一说，因为漏洞无止境，唯有尽可能的提升防护能力。

护卫神安全团队一共整理了三种防护方法：

1、在每个页面对查询参数进行SQL注入过滤

2、在网站全局对输入参数进行SQL注入过滤

3、在服务器对输入参数进行SQL注入过滤

一、在每个页面对查询参数进行SQL注入过滤

这种方法是防护SQL注入最常用的方法，是最有效的方法，但也是最让人无赖的方法，因为出现SQL注入漏洞的原因就是此种方法过滤不全面引发的。

例如上文的username和password，如果我们将password参数的单引号、双引号、空格替换为空，完整的SQL语句变为：

select * from [users] where username='admin' and password='123ora=a'

此时就无法登录系统了，成功解决注入问题。

我们除了对password参数过滤，还需要对username参数进行过滤，即：在SQL查询语句中的所有参数，都需要进行过滤。

建议过滤掉的字符：' " ( ) * [ ] > < % 空格 Tab键

此方法优点：效果好、无副作用

此方法缺点：需要会玩代码、改动地方非常多

防护范围：当前参数

二、在网站全局对输入参数进行SQL注入过滤

防护原理：建立一个公共页面，让每个脚本文件都include这个页面。在这个公共页面中，对输入服务器的参数进行危险SQL关键词检测，发现有危险关键词，就阻止访问。示例代码如下：

<%
' 函数：检查参数中是否包含危险SQL语句
Function ChkSQL(inputString)
    if instr(inputString,"select")>0 then ChkSQL=1
    if instr(inputString,"update")>0 then ChkSQL=1
    '其他需要过滤的危险SQL语句
    '...
    '...
End Function

' 检查GET参数
Dim queryStringKey, queryStringValue
For Each queryStringKey In Request.QueryString
    queryStringValue = Request.QueryString(queryStringKey)
    If ChkSQL(queryStringValue)=1 Then
        Response.Write "非常抱歉，你的请求涉嫌危险操作，已阻止访问！<br>"
        Response.End
    End If
Next

' 检查POST参数
Dim formKey, formValue
For Each formKey In Request.Form
    formValue = Request.Form(formKey)
    If ChkSQL(formValue) Then
        Response.Write "非常抱歉，你的请求涉嫌危险操作，已阻止访问！<br>"
        Response.End
    End If
Next
%>

此方法优点：改动没那么大

此方法缺点：需要会玩代码、副作用较大

防护范围：include公共脚本的所有页面

三、在服务器对输入参数进行SQL注入过滤

防护原理和方法二想同，都是对输入数据进行过滤，不同点在于此方法无需更改代码，非常适合不会玩代码的人使用，同时副作用要远小于方法二。不过必须使用相关的防注入软件，推荐使用《护卫神.防入侵系统》，自带SQL注入防护和XSS跨站攻击防护（如下图一）。

（图一：SQL注入防护）

只需要安装上软件，都不用任何设置，系统就自动防护SQL注入，拦截效果如下图二。

（图二：SQL注入拦截效果）

此方法优点：效果好、无需改代码、副作用小

此方法缺点：可能要花钱

防护范围：全服务器所有网站

上述三种方法，分别在不同层面，用不同方法对SQL注入攻击进行防护，推荐使用“方法一+方法三”组合防护，让网站坚不可摧！

亚星管理平台菁思福科技，优秀企业首选的互联网供应服务商

亚星管理平台菁思福科技秉承"专业团队、品质服务" 的经营理念，诚信务实的服务了近万家客户，成为众多世界500强、集团和上市公司的长期合作伙伴！

亚星管理平台菁思福科技成立于2001年，擅长网站建设、网站与各类业务系统深度整合，致力于提供完善的企业互联网解决方案。亚星管理平台菁思福科技提供PC端网站建设（品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、DIY体验、720全景展厅及3D虚拟仿真）、移动端应用（手机站、APP开发）、微信定制开发（微信亚星官网、微信商城、企业微信）、微信小程序定制开发等一系列互联网应用服务。

上一篇：互联网大厂架构师亲授：常见安全漏洞攻防实战指南下一篇：网站HTTPS化：打造安全与SEO优化双赢策略

返回列表

亚星管理平台菁思福知识库

探索行业前沿，共享知识宝库

相关资讯

热点资讯

网页设计之道：用户体验原则的运用策略

如何在UI设计中使用留白，留白设计的原则是什么？

网站设计中的空白与留白艺术，巧妙运用创造视觉焦点

那些你不可不知的企业网站设计原则

优质的移动端网站该如何设计

响应式网页设计已死，流体布局才是未来

独立站：跨境电商的未来趋势？深度解析独立站优势及发展策略

大家都在看

网站安全：解密网站防火墙的原理与配置

网站如何做“等保”？有什么好处呢？

网站为什么要使用HTTPS，安全证书

信息安全-网安产品（WAF、蜜罐、漏洞扫描工具、安全事件系统）

域名安全对SEO至关重要

为什么废弃的网站要注销？

SEO如何确保网站安全呢（让网站更加安全四大方法）

智慧教育解决方案

智慧答题解决方案

智慧建材解决方案

智慧家装解决方案

智慧家居解决方案

智慧校园解决方案

企业微信解决方案

教育机构解决方案

家校互动解决方案

微信客服解决方案

智能收款解决方案

家装行业解决方案

建材行业解决方案

家居行业解决方案

家电行业解决方案

品牌网站设计

网页设计

APP开发

微信公众号定制开发

小程序开发

制作网站

企业建站

微网站

微官站

手机网站建设

我要投稿