SQL 注入是最流行的黑客技術(shù)之一。它涉及為惡意意圖注入 SQL 代碼，例如破壞數(shù)據(jù)庫或獲取私人信息。例如，黑客可以將 SQL 代碼注入網(wǎng)站表單，以從數(shù)據(jù)庫中檢索用戶名和密碼列表。這種攻擊可能會威脅到您用戶的敏感個人信息——想象一下黑客可以獲得的所有數(shù)據(jù)！這是最簡單的 SQL 注入形式之一：用戶輸入。

幸運(yùn)的是，SQL 注入并不難預(yù)防。這種黑客技術(shù)并不復(fù)雜，可以很容易地避免實(shí)施不同的代碼解決方案。這只是另一種很容易被遺忘的安全措施。

即使是流行的游戲Fortnite 也存在一個漏洞，該漏洞可能導(dǎo)致 SQL 注入攻擊，從而使黑客能夠接管游戲帳戶。Synopsys 的技術(shù)布道師 Tim Mackey 表示：“SQL 注入和 XSS 是 OWASP 前 10 名中的常年項(xiàng)目”。你的代碼是防 SQL 注入的嗎？您是否遭受過 SQL 注入安全攻擊？繼續(xù)閱讀以找到解決方案！

保護(hù)數(shù)據(jù)庫免受 MySQL 注入的 3 大方法

1. 使用 MySQLi 轉(zhuǎn)義字符

此方法允許數(shù)據(jù)庫將 SQL 注入視為文本，而不是代碼。這將避免黑客代碼的任何惡意行為。這個想法是使數(shù)據(jù)庫對文本進(jìn)行轉(zhuǎn)義并將其轉(zhuǎn)換為字符。以下示例適用于簡單的網(wǎng)站表單。此解決方案由Multimedia Tutorials?YouTube 頻道提供：

首先設(shè)置變量等于實(shí)際數(shù)據(jù)。有關(guān)名字字段，請參見下面的示例：

 $first = $_POST['first'];

然后，插入以下 PHP 函數(shù)：

mysqli_real_escape_string ()

在該括號內(nèi)，您將添加兩個不同的參數(shù)：與數(shù)據(jù)庫的數(shù)據(jù)庫連接和用戶在表單中傳遞的數(shù)據(jù)。代碼將與此類似：

$first = mysqli_real_escape_string ($conn, $_POST['first']);

其中 $conn 是您與數(shù)據(jù)庫的數(shù)據(jù)庫連接。然后，對其余字段執(zhí)行相同的步驟。您可以輕松復(fù)制和粘貼 mysqli_real_escape_string ($conn)，以加快該過程。

2- 使用 Web 應(yīng)用程序防火墻

Web 應(yīng)用程序防火墻 (WAF) 通過檢測來自您的網(wǎng)站流量的可疑活動，作為附加的安全層。根據(jù)一組特定的規(guī)則過濾掉非法流量。從技術(shù)上講，它會檢查進(jìn)入您網(wǎng)站的 HTTPS 請求。由于它位于 DNS 級別，因此如果它檢測到任何惡意活動，它不會讓它進(jìn)入數(shù)據(jù)庫。

如果 Web 應(yīng)用程序防火墻檢測到可疑行為，您可以選擇如何繼續(xù)。例如，您可以要求用戶提交驗(yàn)證碼，或自動阻止可疑 IP 地址。實(shí)施 Web 應(yīng)用程序防火墻還將幫助您防止跨站點(diǎn)腳本 (XSS) 和跨站點(diǎn)偽造 (CSRF)。這聽起來像是完美的解決方案，但請記住，這不是 100% 防故障的方法。仍然有一些方法可以繞過 WAF。即便如此，我還是強(qiáng)烈推薦它。

3. 使用預(yù)處理語句保護(hù)數(shù)據(jù)庫免受 MySQL 注入

此方法使用占位符而不是實(shí)際變量，這些變量被發(fā)送到數(shù)據(jù)庫、被解析并最終在 SQL 語句中被替換。請注意，數(shù)據(jù)庫也不會將代碼視為代碼，而是將其視為字符。

此過程涉及 3 個步驟：創(chuàng)建模板、創(chuàng)建準(zhǔn)備好的語句和準(zhǔn)備準(zhǔn)備好的語句。請參閱以下所有這些步驟的詳細(xì)信息：

創(chuàng)建模板

首先從數(shù)據(jù)庫中選擇數(shù)據(jù)。為此，請使用用戶 ID 等于占位符名稱的 select 語句。

創(chuàng)建準(zhǔn)備好的語句

在括號內(nèi)插入準(zhǔn)備好的語句，包括與數(shù)據(jù)庫的連接。

準(zhǔn)備一份準(zhǔn)備好的聲明

為準(zhǔn)備好的語句插入一個 MySQLi 函數(shù)，并通過對模板進(jìn)行測試來檢查該語句是否可以工作。您可以通過插入 IF 語句來做到這一點(diǎn)，第一個條件是準(zhǔn)備好的語句，以 $stmt 作為參數(shù)，第二個參數(shù)是 SQL 模板。記住要檢查失敗而不是成功。您可以通過在語句前插入感嘆號并回顯該語句已失敗來執(zhí)行此操作。

然后，通過將綁定參數(shù)添加到占位符來插入 ELSE 語句。在括號內(nèi)添加三個參數(shù)：后跟逗號的準(zhǔn)備語句、模板中占位符的指示符以及要插入而不是占位符的實(shí)際數(shù)據(jù)。您可以在多媒體教程中看到完整的解決方案。