SQL注入攻击至今仍然是Web安全领域中的一个重要组成部分

SQL 注入的原理

SQL 注入：就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串里，最终达到欺骗服务器执行恶意的 SQL 命令。

具体来说，它是利用现有应用程序，将（恶意）的 SQL 命令注入到后台数据库引擎执行的能力，它可以通过在 Web 表单输入（恶意）SQL 语句得到一个存在安全漏洞的网站的数据库信息，而不按照设计者的意图执行 SQL 语句。

什么时候可能发生 SQL 注入：

假设我们在浏览器中输入 URL: www.insmoin.com，由于它只是对页面的简单请求无需对数据库进行动态请求，所以它不存在 SQL 注入，当我们输入 www.insmoin.com?testid=23 时，我们在 URL 中传递了变量 testid，并且提供值为23，由于它是对数据库进行动态查询的请求（其中 ?testid＝23 表示数据库查询变量），所以我们可以在该 URL 中嵌入了恶意 SQL 语句。

具体的例子和详细的原理就不在这里赘述了，有兴趣的同学可以去谷歌或者百度搜索，上面会有大量的例子和攻击方式。

SQL注入常用保护方式

最主要的保护方式有以下几点：

1. 使用 Prepared Statements（参数查询）来代替 Statements — 这要求所有数据库开发人员在开发 SQL 查询语句时将代码和数据分开，先定义查询语句的结构，将数据通过参数的方式出入，这样输入的参数将不会当作 SQL 命令来执行，基本上能避免 SQL 注入的攻击。
2. 使用存储过程来操作数据库 — 所有的存储过程都存放在数据库里面，应用程序调用存储过程来查询数据。
3. 转义用户输入的所有特殊字符 – 永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。这些在一定程度可以缓解SQL注入。

还有些辅助的方法：

• 以最低权限的数据库连接，为每个应用使用单独的权限与有限的数据库连接。
• 不要把机密信息明文存放，加密或者 hash 掉密码和敏感的信息。
• 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。