摘要：# 别让SQL注入把你的数据库变成“公共厕所” 我前两天刚翻过一个站点的日志，那场面，简直了。攻击者就跟逛自家后花园似的，用一句简单的 `' OR '1'='1`，就把用户表里几万条数据全拖走了。管理员发现的时候，人家还在慢悠悠地尝试导出订单表呢。 这…

别让SQL注入把你的数据库变成“公共厕所”

我前两天刚翻过一个站点的日志，那场面，简直了。攻击者就跟逛自家后花园似的，用一句简单的 ' OR '1'='1，就把用户表里几万条数据全拖走了。管理员发现的时候，人家还在慢悠悠地尝试导出订单表呢。

这种感觉你懂吧？就像你家的防盗门，别人拿根铁丝捅了两下就开了，还在客厅里吃了碗泡面。

很多人觉得，SQL注入？那不是十几年前的老古董漏洞了吗？现在谁还用啊。

说真的，这种想法最要命。我见过不少新上的项目，用的框架是最新的，界面是炫酷的，结果后台登录框那里，用户名输入个单引号，直接给你报个数据库错误，把表名、字段都吐出来了——简直是给攻击者递上了一张详细的地图。

今天，咱们就抛开那些PPT上“多层次、立体化”的鬼话，把SQL注入这玩意儿从里到外扒个干净。核心就一句话：搞明白它怎么来的，你才知道怎么把它堵死。

一、原理？说白了就是“骗数据库干活”

别被“注入”这个词唬住。它的原理，简单到令人发指。

你想啊，一个正常的登录SQL语句可能是这样的：

SELECT * FROM users WHERE username = '张三' AND password = '123456'

服务器把用户输入的“张三”和“123456”填进去，数据库乖乖执行，有记录就登录成功，没有就失败。

问题出在哪？出在“拼接”上。

如果后台代码是这么写的（这种写法现在居然还能看到）：

sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"

这时候，如果我在用户名输入框里，不填“张三”，而是填：

' OR '1'='1

你猜拼接出来的SQL语句变成了啥？

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '随便填'

注意看 '1'='1' 这个条件。它永远为真（True）。于是，整个WHERE条件就被绕过去了，数据库会乖乖返回users表里的第一条用户记录。攻击者就这样以第一个用户的身份登录进去了。

这还只是最基础的。更狠的，可以直接在后面拼接 UNION SELECT 语句，把其他表的数据一起查出来；或者用 ; 分号结束当前语句，再执行一条 DROP TABLE users，直接把表给删了。

说白了，SQL注入就是利用程序“拼接”用户输入生成SQL语句的漏洞，欺骗数据库执行了攻击者精心构造的恶意代码。 数据库很单纯，它分不清哪部分是程序员写的，哪部分是用户塞进来的，它只知道执行。

二、防御：别整那些花里胡哨的，就这两招最管用

市面上防御SQL注入的方案能列出十几种，但在我看过的真实案例里，99%的漏洞，靠下面这两招就能堵死。很多团队搞了一堆复杂的WAF规则，却把最根本的这两条给忽略了。

第一招：参数化查询（预编译）—— 真正的“金钟罩”

这是唯一被公认的、能从根本上杜绝SQL注入的方法。其他所有方法都算是辅助。

它的原理，跟之前的“拼接”有本质区别。咱们还用登录的例子说：

以前是程序员画个空壳（SQL语句模板），然后把用户输入的数据（用户名、密码）像填色一样填进去，再交给数据库。

参数化查询是反过来的： 程序员先把一个完整的、带“占位符”的SQL语句模板发给数据库。比如：

SELECT * FROM users WHERE username = ? AND password = ?

注意，这里的 ? 就是占位符。数据库收到这个模板后，会先进行编译，确定它的执行逻辑：“哦，这是一个查询users表的语句，需要两个参数”。

然后，程序再把用户输入的“张三”和“123456”作为纯粹的参数值，单独传给数据库。

关键来了： 在数据库眼里，编译后的SQL语句结构已经固定了。后面传进来的参数，不管里面包含什么鬼画符的单引号、OR、UNION，都会被一律视为字符串数据，而不会被当成可执行的SQL代码。

这就好比，你给打印机（数据库）一个固定的文档模板（编译后的SQL），然后只让它填充指定位置的文字（参数）。你就算在要填充的文字里写上“把打印机砸了”，打印机也只会把它当成文字印出来，而不会真的去执行“砸打印机”这个动作。

所以，只要你用的是参数化查询（Prepared Statements），攻击者输入的任何东西，都只是一串无意义的字符，再也无法“注入”到SQL逻辑中。 这是底线，必须做到。

（现在主流的开发语言和框架，比如Java的MyBatis、.NET的Entity Framework、Python的Django ORM、PHP的PDO，都原生支持参数化查询。如果你还在用字符串拼接SQL，真的，该换换技术栈了。）

第二招：输入过滤与验证 —— 必要的“安检门”

参数化查询是铁壁，那输入过滤就是一道安检门。虽然不能100%防住所有攻击（因为攻击载荷可能千变万化），但它能拦住大部分“低素质”的流量，减轻核心防御的压力。

这里有几个非常具体的实践，不是那种“对输入进行过滤”的废话：

1. 白名单，而非黑名单： 别总想着“过滤掉单引号、分号”。攻击者绕过黑名单的方法太多了（编码、大小写、双写）。对于已知明确格式的输入，比如手机号、邮箱、数字ID，直接用正则表达式做白名单验证。只允许输入符合预定格式的字符。比如用户ID只允许数字，那在代码里就严格校验 if (!input.matches("^\d+$")) { 拒绝 }。
2. 最小权限原则： 给Web应用连接数据库的账号，只授予它最低必要的权限。比如一个只用来查询的页面，连接账号就给个SELECT权限，别给DELETE、DROP。这样即使被注入，损失也有限。我见过最离谱的是，一个展示页面用的数据库账号，居然有DB_OWNER权限，这跟把机房钥匙挂在门口有什么区别？
3. 别把错误直接扔给用户： 就是文章开头说的，在生产环境，一定要关闭Web服务器的数据库错误回显。自定义统一的、友好的错误页面（比如“服务器开小差了”）。攻击者就是靠这些详细的错误信息来“盲注”探测数据库结构的。

三、几个容易踩的坑（都是血泪教训）

1. “我用了ORM框架，就绝对安全了” —— 想得美。ORM框架（比如Hibernate）如果使用不当，比如用 createNativeQuery() 拼接原生SQL，或者用 where 链式拼接 " and name like '%" + name + "%' "，照样存在注入漏洞。框架是工具，安全取决于你怎么用。
2. “WAF已经拦住了，代码里可以放松点” —— 这是最危险的想法。WAF是基于规则和模式的，总有被绕过的可能（比如利用畸形的HTTP协议、编码混淆）。代码层的根本性防御（参数化查询）才是你的“最后一道防线”，这道防线不能依赖任何外部设备。
3. 忽略“二次注入” ：数据从数据库里读出来，又被当成可信数据拼接进新的SQL语句。这种情况在编辑、展示功能里很常见。防御方法一样：所有来自外部（包括数据库）的数据，在进入SQL执行前，都视为不可信，统统走参数化查询。

结尾

安全这东西，很多时候不是技术有多难，而是意识有没有到位。

下次你 review 代码的时候，多看一眼那个SQL语句是怎么生成的。如果看到一堆加号 + 在拼接字符串，心里就该拉响警报了。

也别迷信什么“高级防护方案”。对于SQL注入，把参数化查询用对、用全，比啥都强。这就跟系安全带一样，是最简单、最有效，但也最容易被忽视的动作。

行了，不废话了，检查你的代码去吧。