游乐游手机版
首页/数据库/文章详情

如何用正则表达式过滤用户输入防止SQL注入

时间:2026-07-11 07:01
先说一个许多开发者容易踩的陷阱:正则表达式本身无法真正防御SQL注入攻击。它充其量只能在前端做一层提示,或在日志中筛选异常行为——真正要在数据库执行前拦截恶意输入,唯一可靠的方案是 mysqli::prepare 或 PDO::prepare 参数化查询。下面这张图虽然看起来挺有威慑力,但光靠正则,

先说一个许多开发者容易踩的陷阱:正则表达式本身无法真正防御SQL注入攻击。它充其量只能在前端做一层提示,或在日志中筛选异常行为——真正要在数据库执行前拦截恶意输入,唯一可靠的方案是 mysqli::preparePDO::prepare 参数化查询。下面这张图虽然看起来挺有威慑力,但光靠正则,漏洞依然存在。

如何使用正则表达式过滤用户输入以防止SQL注入?

为什么用正则过滤SQL注入关键词存在风险

攻击者早已不是当年那个老老实实写 SELECT 的初级黑客了。如今他们会使用 sel/**/ect%27(URL编码的单引号)、UNI/**/ON,甚至通过双写绕过 SELESELECTCT——这些手法都能轻松规避 /union|select|drop/i 这类简单规则。更棘手的是,用 preg_replace 直接删除匹配内容,会破坏合法字段。比如用户昵称叫“Union Jack”,删除后就变成“Jack”;而删掉 WHERE 后面的空格,还可能触发 MySQL 的 strict mode 报错。

常见错误现象包括:

  • PREG_BACKTRACK_LIMIT_ERROR:超长输入搭配贪婪匹配(如 .*),导致 PCRE 回溯溢出
  • 中文截断:PHP 中未添加 u 修饰符,preg_match 在 UTF-8 字符串中直接崩溃
  • 大小写漏判:/i 原本是为了兼容,结果让 selECT 溜过去;不如直接限制该字段

哪些正则场景勉强可用

正则只在两类场景下能派上用场,而且必须配合后端的参数化查询:

  • 前端 JS 表单校验:比如拦截明显畸形的输入 ' OR 1=1 --、连续5个以上括号 (((((、裸露分号结尾 ;
  • 日志关键词筛查:从 access.log 或 audit 日志中快速提取疑似攻击片段,比如匹配 /(%27)|(')|(--)|(#)/,用于告警而非阻断

推荐写法示例(PHP):

if (preg_match('/['";--=<>]|--|*//', $input)) {    // 记录日志 + 前端提示,但不拒绝请求    error_log("Suspicious input: " . $input);    echo "输入含非法符号,请检查";}

注意:['";--=] 中的连字符 - 必须放在最后,否则会被解释为范围符;*/ 需要转义。

真正该做的三件事(顺序不能错)

与其纠结“怎么写正则”,不如把精力放在以下三步上,防护效果比任何字符串匹配都强:

  • 所有数据库操作统一走 mysqli::preparePDO::prepare,变量全部用 ? 占位符替代
  • 用户输入进入 SQL 之前,先通过 filter_var($input, FILTER_SANITIZE_SPECIAL_CHARS)(PHP 8.1+ 推荐),或者至少用 htmlspecialchars($input, ENT_QUOTES, 'UTF-8') 进行过滤
  • 数据库账号权限最小化——应用账号只赋予 SELECTINSERT,绝对不要开放 FILEEXECUTEDROP

正则唯一不可替代的作用,是帮你发现异常输入模式;但它永远无法定义“合法 SQL”。比如 JSON 字段中嵌入了 SQL 片段,或者 GraphQL 查询体混入了原生语句——这类边界情况只能靠协议层和权限层来兜底。

来源:https://www.php.cn/faq/2796178.html
上一篇SQL Server 2019新字符串函数查询优化技巧 下一篇Oracle 12c RMAN备份后归档日志未自动删除原因
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
SQL中HAVING子句性能有时优于WHERE子句的深度原因解析
数据库 · 2026-07-11

SQL中HAVING子句性能有时优于WHERE子句的深度原因解析

先抛个结论,帮大家省点纠结的时间:HA VING 真的从来就不比 WHERE 性能更好。江湖上流传的“HA VING 更快”,大多是拿错了对比样本,或者是被缓存、数据量这些小细节晃了一下眼。问题的根源其实就一句话:混淆了“执行阶段”和“数据量”这两个完全不同的概念。把它们的先后顺序和各自能干的事儿理

SQL开窗函数计算分组内占比的详细教程
数据库 · 2026-07-11

SQL开窗函数计算分组内占比的详细教程

开窗函数这个话题,其实最核心的价值就在于它能让我们在保留全部明细数据的同时,完成复杂的聚合计算。比如,要算每个产品在其所在分类中的销售占比,这在报表分析里太常用了。如果用传统GROUP BY再加JOIN回去,SQL写得啰嗦不说,性能也糟糕。 计算分组内占比的核心逻辑 说白了就是:用当前行的值,除以它

移动端App接口Token未校验导致SQL注入的解决方案
数据库 · 2026-07-11

移动端App接口Token未校验导致SQL注入的解决方案

先纠正一个常见误解:Token未校验本身并不会直接导致SQL注入——它只是一个身份凭证,不是SQL的输入源。真正的问题出在另外一条链路上:攻击者利用未校验的Token轻松绕过鉴权,然后塞进恶意参数(比如 user_id、keyword),这些参数再被拼接到SQL中执行,这才是灾难的开端。 所以修复的

Navicat还原后中文字符显示问号的解决方法
数据库 · 2026-07-11

Navicat还原后中文字符显示问号的解决方法

说实话,遇到Navicat还原后中文字符全部变成问号的情况,大多数用户的第一反应往往是备份文件损坏了。但真相其实很简单——问题不在文件本身,而是Navicat在还原过程中跳过了字符集协商环节,直接将utf8mb4的字节按照latin1或gbk编码“硬解”写入。换句话说,它根本没有询问数据库“你使用的

Redis集群从节点频繁掉线检查MTU与心跳包大小
数据库 · 2026-07-11

Redis集群从节点频繁掉线检查MTU与心跳包大小

揭示一个容易被忽视的问题:Redis集群中从节点频繁掉线,绝大多数情况并非配置错误,而是网络层默默出现丢包——尤其是MTU参数不匹配时,心跳包被迫分片甚至直接被截断。 先说核心判断:MTU不一致确实会导致Redis从节点掉线,这听起来有些反直觉,但却是真实的线上踩坑经验。心跳包(PING PONG)