如何用正则表达式过滤用户输入防止SQL注入
先说一个许多开发者容易踩的陷阱:正则表达式本身无法真正防御SQL注入攻击。它充其量只能在前端做一层提示,或在日志中筛选异常行为——真正要在数据库执行前拦截恶意输入,唯一可靠的方案是 mysqli::prepare 或 PDO::prepare 参数化查询。下面这张图虽然看起来挺有威慑力,但光靠正则,
先说一个许多开发者容易踩的陷阱:正则表达式本身无法真正防御SQL注入攻击。它充其量只能在前端做一层提示,或在日志中筛选异常行为——真正要在数据库执行前拦截恶意输入,唯一可靠的方案是 mysqli::prepare 或 PDO::prepare 参数化查询。下面这张图虽然看起来挺有威慑力,但光靠正则,漏洞依然存在。

为什么用正则过滤SQL注入关键词存在风险
攻击者早已不是当年那个老老实实写 SELECT 的初级黑客了。如今他们会使用 sel/**/ect、%27(URL编码的单引号)、UNI/**/ON,甚至通过双写绕过 SELESELECTCT——这些手法都能轻松规避 /union|select|drop/i 这类简单规则。更棘手的是,用 preg_replace 直接删除匹配内容,会破坏合法字段。比如用户昵称叫“Union Jack”,删除后就变成“Jack”;而删掉 WHERE 后面的空格,还可能触发 MySQL 的 strict mode 报错。
常见错误现象包括:
PREG_BACKTRACK_LIMIT_ERROR:超长输入搭配贪婪匹配(如.*),导致 PCRE 回溯溢出- 中文截断:PHP 中未添加
u修饰符,preg_match在 UTF-8 字符串中直接崩溃 - 大小写漏判:
/i原本是为了兼容,结果让selECT溜过去;不如直接限制该字段
哪些正则场景勉强可用
正则只在两类场景下能派上用场,而且必须配合后端的参数化查询:
- 前端 JS 表单校验:比如拦截明显畸形的输入
' OR 1=1 --、连续5个以上括号(((((、裸露分号结尾; - 日志关键词筛查:从 access.log 或 audit 日志中快速提取疑似攻击片段,比如匹配
/(%27)|(')|(--)|(#)/,用于告警而非阻断
推荐写法示例(PHP):
if (preg_match('/['";--=<>]|--|*//', $input)) { // 记录日志 + 前端提示,但不拒绝请求 error_log("Suspicious input: " . $input); echo "输入含非法符号,请检查";}
注意:['";--=] 中的连字符 - 必须放在最后,否则会被解释为范围符;* 和 / 需要转义。
真正该做的三件事(顺序不能错)
与其纠结“怎么写正则”,不如把精力放在以下三步上,防护效果比任何字符串匹配都强:
- 所有数据库操作统一走
mysqli::prepare或PDO::prepare,变量全部用?占位符替代 - 用户输入进入 SQL 之前,先通过
filter_var($input, FILTER_SANITIZE_SPECIAL_CHARS)(PHP 8.1+ 推荐),或者至少用htmlspecialchars($input, ENT_QUOTES, 'UTF-8')进行过滤 - 数据库账号权限最小化——应用账号只赋予
SELECT、INSERT,绝对不要开放FILE、EXECUTE或DROP
正则唯一不可替代的作用,是帮你发现异常输入模式;但它永远无法定义“合法 SQL”。比如 JSON 字段中嵌入了 SQL 片段,或者 GraphQL 查询体混入了原生语句——这类边界情况只能靠协议层和权限层来兜底。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
SQL中HAVING子句性能有时优于WHERE子句的深度原因解析
先抛个结论,帮大家省点纠结的时间:HA VING 真的从来就不比 WHERE 性能更好。江湖上流传的“HA VING 更快”,大多是拿错了对比样本,或者是被缓存、数据量这些小细节晃了一下眼。问题的根源其实就一句话:混淆了“执行阶段”和“数据量”这两个完全不同的概念。把它们的先后顺序和各自能干的事儿理
SQL开窗函数计算分组内占比的详细教程
开窗函数这个话题,其实最核心的价值就在于它能让我们在保留全部明细数据的同时,完成复杂的聚合计算。比如,要算每个产品在其所在分类中的销售占比,这在报表分析里太常用了。如果用传统GROUP BY再加JOIN回去,SQL写得啰嗦不说,性能也糟糕。 计算分组内占比的核心逻辑 说白了就是:用当前行的值,除以它
移动端App接口Token未校验导致SQL注入的解决方案
先纠正一个常见误解:Token未校验本身并不会直接导致SQL注入——它只是一个身份凭证,不是SQL的输入源。真正的问题出在另外一条链路上:攻击者利用未校验的Token轻松绕过鉴权,然后塞进恶意参数(比如 user_id、keyword),这些参数再被拼接到SQL中执行,这才是灾难的开端。 所以修复的
Navicat还原后中文字符显示问号的解决方法
说实话,遇到Navicat还原后中文字符全部变成问号的情况,大多数用户的第一反应往往是备份文件损坏了。但真相其实很简单——问题不在文件本身,而是Navicat在还原过程中跳过了字符集协商环节,直接将utf8mb4的字节按照latin1或gbk编码“硬解”写入。换句话说,它根本没有询问数据库“你使用的
Redis集群从节点频繁掉线检查MTU与心跳包大小
揭示一个容易被忽视的问题:Redis集群中从节点频繁掉线,绝大多数情况并非配置错误,而是网络层默默出现丢包——尤其是MTU参数不匹配时,心跳包被迫分片甚至直接被截断。 先说核心判断:MTU不一致确实会导致Redis从节点掉线,这听起来有些反直觉,但却是真实的线上踩坑经验。心跳包(PING PONG)
- 热门数据榜
相关攻略
2026-07-11 07:02
2026-07-11 07:01
2026-07-11 07:01
2026-07-11 07:01
2026-07-11 07:01
2026-07-11 07:01
2026-07-11 07:01
2026-07-11 07:01
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

