一、网络层防护:构建第一道拦截防线
部署Web应用防火墙(WAF)是高防服务器抵御SQL注入的基础屏障。WAF通过预设规则识别并过滤恶意SQL语句(如包含'、--、union select等关键词的输入),在请求到达服务器前拦截攻击流量。例如,针对SELECT * FROM users WHERE id = '1' OR '1'='1'这类典型注入语句,WAF可直接阻断并返回403 Forbidden响应。此外,建议开启DDoS防护联动,防止攻击者通过大量恶意请求耗尽服务器资源,确保WAF持续生效。
二、服务器与应用层:强化核心防御机制
- 强制使用参数化查询/预处理语句:这是防范SQL注入的“黄金标准”。通过将用户输入与SQL语句分离(如Java中的
PreparedStatement、Python中的cursor.execute(sql, params)),数据库会将输入视为纯文本而非可执行代码。例如,SELECT * FROM products WHERE name = ?中的?会被替换为用户输入的值,而不会被解析为SQL语法。 - 严格输入验证与过滤:对所有用户输入进行格式校验(如邮箱需符合
^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$正则)、长度限制(如用户名不超过20字符)、类型检查(如年龄必须为整数),并通过白名单机制允许合法字符(如仅允许字母、数字)。同时,使用htmlspecialchars()等函数转义特殊字符(如<、>),防止XSS与SQL注入叠加攻击。 - 最小化数据库权限:避免使用
sa、root等高权限账户连接数据库,为每个应用创建专用低权限账户(如仅授予SELECT、INSERT权限,禁止DROP、ALTER)。例如,若应用仅需读取用户信息,账户权限应限制为SELECT,即使发生注入,攻击者也无法修改或删除数据。 - 禁用错误信息回显:生产环境中关闭数据库详细错误提示(如MySQL的
display_errors=Off),将错误信息记录到服务器日志而非直接返回给用户。攻击者无法通过错误信息(如数据库版本、表结构)调整注入策略,降低攻击成功率。
三、数据与日志:提升应急响应能力
- 敏感数据加密存储:对密码等敏感信息采用单向哈希算法(如bcrypt、Argon2)加密,即使数据库泄露,攻击者也无法还原明文。避免使用MD5、SHA1等易破解的哈希算法,且不要在代码中硬编码密钥。
- 实时日志监控与分析:开启数据库慢查询日志(
slow_query_log=1)和通用查询日志(general_log=1),通过Percona Monitoring、ELK Stack等工具分析异常查询模式(如短时间内大量SELECT *请求、包含union的查询)。一旦发现注入痕迹,立即触发告警并采取隔离措施。
四、持续运维:形成安全闭环
- 定期更新与补丁管理:及时更新数据库管理系统(如MySQL、Oracle)、应用框架(如Spring、Django)及WAF规则,修复已知SQL注入漏洞(如CVE-2023-1234)。避免因未打补丁导致的零日攻击。
- 定期安全测试:使用SQLMap、Burp Suite等工具进行渗透测试,模拟攻击者行为检测系统漏洞。每月至少进行一次全面扫描,针对发现的漏洞(如动态拼接SQL)及时修复,并将测试结果纳入安全评估报告。
- 安全开发生命周期(SDL):将防SQL注入纳入代码审查checklist(如“是否使用预处理语句?”“是否验证用户输入?”),开展安全编码培训(如OWASP Top 10),提高开发人员的安全意识。从源头上减少SQL注入漏洞的产生。
