MYSQL--------SQL 注入简介&&MySQL SQL Mode 简介

SQL 注入简介

• 定义：SQL 注入是一种常见的安全漏洞，攻击者通过在输入中插入恶意的 SQL 语句，利用应用程序中未正确处理的输入数据，来改变 SQL 查询的逻辑，从而执行非预期的操作，如绕过身份验证、获取未授权数据、修改或删除数据等。
• 示例：

-- 正常的登录查询
SELECT * FROM users WHERE username = 'admin' AND password = 'password';

-- 恶意的 SQL 注入
SELECT * FROM users WHERE username = 'admin' AND password = '' OR '1'='1';

代码解释：

• 在上述恶意注入示例中，攻击者将密码输入修改为 '' OR '1'='1'，使查询的 WHERE 条件恒为真，从而绕过密码验证。

应用开发中可以采取的措施

prepareStatement + Bind-Variable

• 在 Java 等编程语言中使用 prepareStatement 和绑定变量可以防止 SQL 注入。

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.DriverManager;

public class SecureSQL {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/your_database";
        String user = "your_username";
        String password = "your_password";
        String usernameInput = "admin";
        String passwordInput = "malicious' OR '1'='1"; // 模拟恶意输入

        try (Connection conn = DriverManager.getConnection(url, user, password)) {
            String sql = "SELECT * FROM users WHERE username =? AND password =?";
            try (PreparedStatement pstmt = conn.prepareStatement(sql)) {
                pstmt.setString(1, usernameInput);
                pstmt.setString(2, passwordInput);
                try (ResultSet rs = pstmt.executeQuery()) {
                    while (rs.next()) {
                        System.out.println(rs.getString("username"));
                    }
                }
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

代码解释：

• PreparedStatement 会预编译 SQL 语句，将 SQL 语句和参数分开处理。
• pstmt.setString(1, usernameInput); 和 pstmt.setString(2, passwordInput); 会将输入参数作为数据而不是 SQL 代码处理，避免输入被当作 SQL 语句的一部分执行，从而防止 SQL 注入。

使用应用程序提供转换函数

• 许多编程语言和框架提供了转换函数，可以对用户输入进行转义处理，将特殊字符转义为安全的形式。
• 例如，在 PHP 中：

<?php
$username = mysqli_real_escape_string($conn, $_POST['username']);
$password = mysqli_real_escape_string($conn, $_POST['password']);
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = mysqli_query($conn, $sql);
?>

代码解释：

• mysqli_real_escape_string 函数将特殊字符转义，使它们在 SQL 查询中被视为普通字符，而不是 SQL 代码的一部分。

自己定义函数进行校验

• 可以自定义函数对输入进行检查和过滤，去除或替换可能导致 SQL 注入的字符。

import re
import mysql.connector

def sanitize_input(input_str):
    # 去除特殊字符
    sanitized = re.sub(r"[;'\"]", "", input_str)
    return sanitized

username = sanitize_input(input("Enter username: "))
password = sanitize_input(input("Enter password: "))

try:
    conn = mysql.connector.connect(
        host="localhost",
        user="your_username",
        password="your_password",
        database="your_database"
    )
    cursor = conn.cursor()
    sql = "SELECT * FROM users WHERE username = %s AND password = %s"
    cursor.execute(sql, (username, password))
    result = cursor.fetchall()
    for row in result:
        print(row)
    cursor.close()
    conn.close()
except mysql.connector.Error as err:
    print(f"Error: {err}")

代码解释：

• sanitize_input 函数使用正则表达式将 ;, ', " 等特殊字符去除，减少 SQL 注入的风险。

小结

• SQL 注入的危害：
  • SQL 注入是一种严重的安全威胁，可能导致数据泄露、数据篡改、系统瘫痪等严重后果。
• 防范措施：
  • 使用 prepareStatement 和绑定变量是最推荐的方法，因为它将 SQL 语句和输入数据分离，确保输入只作为数据而不是 SQL 代码处理。
  • 转换函数也能起到一定的防护作用，但可能存在局限性，对于复杂的注入方式可能无法完全防止。
  • 自定义函数可以根据具体需求对输入进行定制化的校验和过滤，但需要确保其逻辑的完整性和有效性。

在开发应用程序时，安全应该是首要考虑的因素之一，尤其是处理用户输入时，务必采取有效的防范措施防止 SQL
注入，以确保数据库的安全性和数据的完整性。根据不同的开发语言和框架，选择合适的防范手段，并结合多种方法提高安全性。同时，定期进行安全审计和代码审查，确保防范措施的有效性。

MySQL SQL Mode 简介

• 定义：SQL Mode 是 MySQL 中的一组设置，它定义了 MySQL 服务器应该支持的 SQL 语法和数据验证规则。通过改变 SQL Mode，可以控制服务器的行为，使其遵循不同的 SQL 标准或进行更严格的数据检查。
• 作用：
  • 可以让 MySQL 服务器遵循不同的 SQL 标准，如 ANSI、TRADITIONAL 等。
  • 对数据进行严格的数据类型和数据完整性检查，避免插入不符合预期的数据。

常用的 SQL Mode

• ANSI：

  • 使 MySQL 的行为更接近 ANSI SQL 标准，比如使用双引号 " 作为标识符引用，而不是默认的反引号 ```。
  • 示例：

  SET sql_mode = 'ANSI';
  

  • 该模式会影响一些函数的行为，如 VARCHAR 列的处理方式和日期格式等。

• STRICT_TRANS_TABLES：

  • 对事务表进行严格的检查，当插入或更新数据时，如果出现数据截断或超出范围等情况，会产生错误而不是警告。
  • 示例：

  SET sql_mode = 'STRICT_TRANS_TABLES';
  

  • 对于 INSERT 或 UPDATE 操作，如果插入的值超出列的数据类型范围，会导致操作失败，防止数据的意外截断或错误存储。

• TRADITIONAL：

  • 结合了 STRICT_TRANS_TABLES、STRICT_ALL_TABLES 和其他一些严格的模式，提供更严格的数据验证。
  • 示例：

  SET sql_mode = 'TRADITIONAL';
  

  • 在这种模式下，MySQL 会对数据的完整性和一致性进行严格检查，对于不满足要求的数据会报错。

SQL Mode 在迁移中如何使用

• 数据迁移时的一致性检查：

  • 在将数据从一个数据库迁移到另一个数据库时，可以将目标 MySQL 服务器的 SQL Mode 设置为更严格的模式，以确保数据的完整性和一致性。
  • 例如，从一个较宽松的环境迁移到一个更严格的生产环境时，设置 TRADITIONAL 模式可以在迁移过程中发现并解决潜在的数据问题。

  SET sql_mode = 'TRADITIONAL';
  -- 执行数据迁移操作
  

  • 在迁移前，可以先将 SQL Mode 设置为严格模式，然后执行迁移操作，如使用 INSERT 或 LOAD DATA 语句导入数据，此时不符合严格规则的数据会报错，而不是被静默处理，方便排查和修复问题。

• 确保兼容性：

  • 当从其他数据库系统迁移数据到 MySQL 时，可以将 MySQL 的 SQL Mode 设置为更符合源数据库系统的模式，以确保兼容性。
  • 例如，从 PostgreSQL 迁移数据到 MySQL，可以先设置 ANSI 模式，使 MySQL 的行为更接近 PostgreSQL，减少迁移过程中的兼容性问题。

  SET sql_mode = 'ANSI';
  -- 执行数据迁移操作
  

小结

• SQL Mode 的重要性：
  • SQL Mode 是 MySQL 中一个重要的配置，它可以控制 MySQL 服务器的行为，确保数据的一致性和完整性，同时可以使 MySQL 更好地遵循不同的 SQL 标准。
• 常用模式的选择：
  • ANSI 模式使 MySQL 遵循 ANSI SQL 标准，适用于需要与其他数据库系统兼容的情况。
  • STRICT_TRANS_TABLES 模式对事务表进行严格检查，防止数据截断和超出范围的错误。
  • TRADITIONAL 模式提供最严格的数据验证，适合对数据质量要求较高的场景。
• 迁移中的使用：
  • 在数据迁移过程中，根据迁移的源和目标环境，合理设置 SQL Mode 可以帮助发现和解决数据问题，确保迁移的顺利进行。

在使用 SQL Mode 时，要根据实际需求和场景选择合适的模式，并且可以在不同的阶段灵活调整 SQL
Mode，以达到最佳的数据处理和存储效果。同时，在设置 SQL Mode 时，要注意其对已有应用程序和 SQL
操作的影响，避免因模式的改变而导致意外的错误或不兼容问题。在开发和维护数据库系统时，要充分考虑 SQL Mode
作为一种灵活的工具，以满足不同的数据管理和兼容性需求。