当前位置: 首页
数据库
Redis缓存层拦截SQL注入载荷保护数据库安全

Redis缓存层拦截SQL注入载荷保护数据库安全

热心网友 时间:2026-06-27
转载

Redis虽不解析SQL,但缓存接入层可做第一道过滤。缓存key需白名单校验,数字型ID强转类型,其他字段格式校验,含单引号等特殊字符直接拒绝。空值缓存仅对合法ID设置,高频异常key拒绝写入并记录日志。禁止以原始SQL作key,应基于结构化参数签名并先校验参数。核心在于调用缓存前的校验逻辑。

先说结论:Redis 本身并不解析 SQL,也不会执行任何查询命令,因此它无法像数据库防火墙那样直接拦截注入攻击。但别急着跳过这一层——你完全可以将它设计成数据库前的第一道过滤网,在恶意输入抵达 SQL 引擎之前就将其拦下。关键不在于让 Redis “防注入”,而在于你的缓存接入逻辑是否足够智能。

缓存 key 必须实施输入白名单校验

一个非常典型的误区是直接将原始 HTTP 参数拼入缓存 key,例如 "user:" + user_id + ":profile"。如果 user_id 传入的是 123' OR '1'='1,key 就变成了 user:123' OR '1'='1:profile。Redis 并不会因为这个 key 执行任何操作,但后续业务代码拿到这个 key 后很可能认为它合法,跳过校验直接拼入 SQL —— 隐患就此埋下。

  • 数字型 ID 最简单:使用正则 ^[0-9]{1,12}$ 或直接强转为 long/int 再构造 key,非数字直接挡在门外。
  • 非数字字段(如邮箱、用户名)必须进行格式校验。邮箱至少应匹配 ^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,}$,不允许杂乱字符串进入。
  • 包含单引号、分号、注释符(--/*)或空格的 key,直接返回 400 或触发限流,根本无需继续处理。

空值缓存不能无差别写入

在缓存穿透场景中,攻击者会使用大量不存在的 user_id 来刷你的接口。如果你对每个不存在的 ID 都执行 SET user:abc:profile "" EX 60,那等于帮助对方将恶意请求固化到缓存中,既浪费内存又加剧了穿透问题。该如何应对?

  • 只对“明确合法但暂无数据”的 ID 缓存空值,例如注册流程中查询邮箱是否已使用——这类场景下的 ID 是可控的。
  • 对高频出现的异常 key(如连续 5 次 user:-1user:select)直接拒绝写入缓存,也不查询数据库。
  • 空值 TTL 控制在 60–300 秒,避免长期占用位置。同时记录日志,重点监控那些包含 SELECTUNIONOR 等 SQL 关键词的 key 模式——这些几乎就是攻击信号。

避免将原始 SQL 作为缓存 key 存储

如果你在 Redis 中看到大量类似 sql_cache:SELECT%20*%20FROM%20users%20WHERE%20name%3D'admin' 这样的 key,说明业务层正在用用户输入拼接完整 SQL 字符串,再对整个字符串做哈希作为 key。这相当于将 SQL 注入 payload 直接塞入缓存系统,风险极高——一旦缓存被污染,后续所有查询都可能绕过校验。

  • 绝对禁止以原始 SQL 或其 URL 编码形式作为 key。key 应该基于结构化参数,比如 user_id=123,而不是查询语句本身。
  • 所有数据库查询必须走预处理语句(MyBatis 的 #{}、JDBC 的 PreparedStatement 等),缓存层不参与任何 SQL 构造。
  • 如果非要缓存查询结果,key 应由参数签名生成,例如 user_search:v1:md5("name=xxx&age=25"),并且签名前先校验每个参数的合法性。

如何在Redis缓存层拦截可能进入数据库的SQL注入载荷?

归根结底,真正起作用的从来不是 Redis 的某个配置或命令,而是你在调用 get()set() 之前写下的那行校验逻辑。它并不复杂,但在许多项目中偏偏被忽略——而这一忽略,往往就是漏洞的入口。

来源:https://www.php.cn/faq/2693837.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
如何配置Oracle可恢复空间分配以防止任务中断

如何配置Oracle可恢复空间分配以防止任务中断

启用可恢复空间分配需将RESUMABLE_TIMEOUT设为非零值(如3600秒),RAC环境需逐节点单独设置。该机制仅对ORA-01536等空间类错误生效,挂起期间事务锁定状态不变,超时自动中止。会话级启用需显式指定timeout和name,否则可能无效。

时间:2026-07-09 07:09
Redis集群升级配置文件不兼容 对照新旧参数手册转换

Redis集群升级配置文件不兼容 对照新旧参数手册转换

升级至Redis7 0配置不兼容须知:主从复制命令由slaveof改为replicaof否则报错;集群全量覆盖参数默认开启需改为关闭;TCP连接积压参数需与系统内核一致;访问控制列表默认用户无管理权限需授权;节点配置文件禁止手动编辑,应通过命令管理。

时间:2026-07-09 07:09
Oracle 19c补丁冲突问题修复方法详细步骤使用opatch apply命令

Oracle 19c补丁冲突问题修复方法详细步骤使用opatch apply命令

Oracle19c补丁冲突因新旧补丁修复重叠或文件冲突所致。需先确认OPatch版本、inventory一致性及执行用户正确性,再通过opatchprereq定位具体冲突。真实冲突可回退旧补丁或改用完整RU流程,RAC环境需逐节点检查inventory。

时间:2026-07-09 07:08
MySQL修改权限后为何必须执行FLUSH PRIVILEGES?

MySQL修改权限后为何必须执行FLUSH PRIVILEGES?

MySQL修改权限后是否执行FLUSHPRIVILEGES取决于修改方式。通过GRANT或ALTERUSER标准命令自动同步,无需手动刷新;直接UPDATEmysql user表则必须执行以刷新内存缓存。已存在连接不重载,需注意host匹配、认证插件兼容性及RELOAD权限。

时间:2026-07-09 07:08
SQL嵌套查询在电商订单报表中的应用实践

SQL嵌套查询在电商订单报表中的应用实践

SQL嵌套查询在电商订单报表中适用于条件筛选,如快速圈定用户范围,但不适合替代关联分析。使用时需注意子查询空值导致IN失效、必须返回单列、MySQL5 7不支持LATERAL及CTE。聚合分析应依赖聚合加过滤,深层嵌套可用派生表或CTE分步处理。

时间:2026-07-09 07:08
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜