在 SQL 查询中转义单引号是针对注入攻击的可靠保护吗？

抵御SQL注入：评估数据转义策略的有效性

虽然参数化SQL查询被认为是清理用户输入的最佳方法，但一些开发者质疑基本输入清理技术的有效性，例如转义单引号和用单引号包围用户输入。

讨论中，一位开发者展示了他们用于输入清理的代码：

<code>sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'"</code>

他们认为此方法通过阻止用户结束字符串并执行其他命令来消除SQL注入攻击的可能性。但是，一些专家警告不要使用这种方法，因为它存在固有的缺陷。

首先，基于黑名单的输入验证本质上是有问题的。更有效的方法是定义可接受的值和格式的白名单，以确保只处理有效输入。

关于此主题的研究论文，例如https://www.imperva.com/docs/WP_SQL_Injection_Protection_LK.pdf中的论文，提供了证据表明即使是引号转义也可以被绕过，进一步突出了基本输入清理技术的局限性。

推荐的SQL注入预防方法包括：

• 对数据类型、长度、格式和可接受值进行白名单验证
• 将引号转义作为其他缓解措施的附加措施
• 使用命令和参数对象进行查询预解析和验证
• 只调用参数化查询
• 专门使用存储过程来限制SQL执行到预定义的命令
• 将数据库权限限制为仅执行必要的存储过程
• 实施全面的代码库审核，以确保一致地使用安全的数据库访问方法

虽然转义单引号的技术表面上看起来足够，但它最终是不可靠的，应该用更强大和全面的安全策略来代替，以有效防止SQL注入攻击。

以上是在 SQL 查询中转义单引号是针对注入攻击的可靠保护吗？的详细内容。更多信息请关注PHP中文网其他相关文章！