使用正则可初步过滤SQL注入,但无法完全替代预处理。通过匹配SELECT、INSERT等关键词及'、;、--等符号,结合PHP的preg_match和str_replace进行拦截清理,如clean_sql_injection函数所示;然而正则易被编码或变形绕过,且可能误杀正常数据,故仅建议作为辅助手段,核心防御仍需依赖PDO预处理等更安全机制。
在Web开发中,数据库安全至关重要,而SQL注入是威胁数据库安全的主要攻击方式之一。尽管使用预处理语句(如PDO或MySQLi的预处理)是最推荐的防御手段,但在某些历史项目或输入过滤场景中,利用PHP正则表达式对用户输入进行初步过滤,也能有效降低SQL注入风险。
常见SQL注入特征识别
SQL注入通常通过拼接恶意SQL代码实现,攻击者常使用以下关键字或符号:
- SELECT、INSERT、UPDATE、DELETE、DROP、UNION —— 常用于构造非法查询
- '、"、;、--、# —— 用于闭合原SQL语句或注释后续内容
- OR 1=1、AND 1=1 —— 绕过登录验证的典型payload
- LOAD_FILE、EXEC、XP_CMDSHELL —— 高危函数调用
通过正则匹配这些特征,可以在数据进入数据库前进行拦截或转义。
使用PHP正则进行基础过滤
以下是一个简单的正则过滤函数示例,用于检测并清理高风险字符:
立即学习“PHP免费学习笔记(深入)”;
function clean_sql_injection($input) {
// 禁止SQL关键词(不区分大小写)
$pattern = '/(select|insert|update|delete|drop|union|exec|or\s+1=1|and\s+1=1|--|#|;)/i';
if (preg_match($pattern, $input)) {
die('非法输入:检测到潜在SQL注入行为');
}
// 可选:进一步过滤单双引号和分号
$input = str_replace(["'", '"', ';', '--', '#'], '', $input);
return trim($input);
}
使用时对GET、POST等用户输入调用该函数:
$user_input = clean_sql_injection($_POST['username']);
正则过滤的局限性与补充建议
虽然正则能在一定程度上阻止明显攻击,但不能完全替代安全机制:
- 正则容易被绕过(例如使用编码、空格变形、注释符混淆)
- 过度依赖正则可能导致误杀正常业务数据
- 无法应对复杂或新型变种注入手法
因此,建议将正则作为,核心防御仍应采用:
- 使用PDO预处理语句
- 对数据库权限进行最小化分配
- 开启错误信息屏蔽,避免泄露数据库结构
- 结合WAF(Web应用防火墙)进行实时监控
基本上就这些。正则可以提升安全性,但不能当作唯一防线。合理组合多种策略,才能真正提升数据库防护能力。
