WAF配置后还是能绕过SQL注入?预编译查询没用?
我给API加了预编译查询和WAF规则,但测试时发现用OR 1=1 UNION SELECT这种payload还是能获取数据库表名。WAF规则用了黑名单过滤了单引号和分号,但用户输入“%df%”时居然返回了敏感数据…
尝试过在Express中间件用正则替换特殊字符,但POST数据里的JSON参数还是被解析成SQL语句了。数据库是MySQL,代码用的是:
app.use((req, res, next) => {
const safeInput = req.body.input.replace(/[';]/g, '');
req.safeData = safeInput;
next();
});
现在搞不清楚到底是WAF没拦截,还是预编译没生效?有没有更好的防御组合方案?
- 2
回答
255浏览
参数化查询没防住SQL注入?我的代码哪里写错了?
最近在学参数化查询防注入,但测试时发现还是能被绕过。比如在Node.js用mysql模块写这个登录验证: const query = 'SELECT * FROM users WHERE u...
- 2
回答
62浏览
Vue过滤特殊字符后为什么SQL注入还能被绕过?
在Vue项目里处理搜索框输入时,我给后端API加了引号过滤,但测试SQL注入时发现还是能绕过... 具体场景是用户输入搜索词会拼接SQL语句,我在前端用了正则过滤单双引号,但输入" OR 1=1--%...
- 1
回答
42浏览
用ORM框架就真的不会SQL注入了吗?
我最近在Vue项目里用TypeORM做后端数据查询,听说ORM能防SQL注入,但心里还是没底。比如下面这种写法安全吗? <script setup> import { getReposit...
- 2
回答
83浏览
React表单输入转义后SQL注入还是能攻击成功怎么办?
在React里处理用户输入时,我用了字符串替换方法转义了单引号,但测试时发现还是能执行SQL注入,这是为什么? 比如这个登录表单处理函数: handleSubmit = (event) => {...
- 2
回答
59浏览
React里用预编译语句防SQL注入时参数化失败怎么办?
我在React组件里用Axios调用后端查询接口,参数直接拼接到SQL字符串里了,担心SQL注入风险。按照教程改成预编译语句后,参数化一直失败,控制台报错说"参数位置无效"。 这是我的代码片段: //...
- 2
回答
50浏览
用ORM框架就真的不会SQL注入了吗?
最近在用Sequelize写Node.js后端,听说ORM能自动防SQL注入,但我还是有点不放心。比如我这样写:Model.findAll({ where: { name: userInput } }...
- 2
回答
27浏览
存储过程真能防住SQL注入吗?我这样写安全吗?
我在用Node.js调用MySQL的存储过程,听说用存储过程能防SQL注入,但我还是有点不放心。比如我这样拼接参数传进去: CALL getUserInfo(${userId}) 会不会有风险?是不是...
- 1
回答
35浏览
前端如何防止SQL注入时意外暴露敏感信息?
我在做用户登录功能时,后端用了参数化查询防SQL注入,但前端错误提示写得太详细,比如直接显示“用户名或密码错误”,担心被用来暴力探测账户。想隐藏具体错误,但又不能让用户完全不知道哪里出错,这该怎么平衡...
- 2
回答
92浏览
TypeORM里用Raw写SQL会有注入风险吗?
我最近在用TypeORM的Raw函数拼接查询条件,但担心这样会不会有SQL注入漏洞?比如下面这段代码: const users = await getRepository(User) .find({ ...
- 2
回答
31浏览
前端传数字ID到后端,做类型检查能防SQL注入吗?
我在写一个用户信息查询功能,前端传了个用户ID给后端接口。听说只要确保这个ID是数字就能防止SQL注入,是真的吗? 我试过在前端用typeof id === 'number'判断,但发现用户还是可以通...
首先那个中间件写法就有问题,只过滤单引号和分号太弱了。而且直接在req.body上做替换会破坏JSON结构,建议改成这样处理:
但重点不是这个!你的主要问题出在预编译查询没正确使用。检查下你的SQL语句是不是还在用字符串拼接?正确的预编译应该像这样:
WAF只是第二道防线,不能完全依赖。我建议的组合方案:
1. 确保所有SQL查询都用参数化查询(这才是防注入的根本)
2. 在ORM层做类型校验(比如id必须是数字)
3. 用更严格的WAF规则,推荐用libinjection这类语法分析库
4. 对于中文等宽字符,MySQL要设置正确的字符集(建议utf8mb4)
另外%df%的问题可能是字符集导致的,检查下数据库连接的charset参数是不是设成了utf8。
其次,预编译查询理论上是防御SQL注入的最佳实践,但从你的描述来看,可能并没有真正用对。如果你只是简单地把用户输入拼接到SQL语句里,那预编译就完全没发挥作用。正确的做法是使用参数化查询,确保用户输入的内容永远不会被当成SQL代码执行。
再来看你的Express中间件逻辑,这里有几个问题。第一,你只对
req.body.input做了简单的正则替换,但POST请求里的JSON数据可能有多个字段,每个字段都需要处理。第二,这种方式本质上还是黑名单过滤,而黑名单永远不可能穷尽所有攻击方式,攻击者总能找到新的绕过方法。推荐的解决方案是这样:首先确保所有SQL查询都使用真正的预编译查询。以Node.js为例,假设你用的是
mysql2模块,代码应该写成类似这样:这里的关键点是问号占位符和参数数组,这样可以确保用户输入的内容始终作为数据处理,而不是SQL代码。
其次,WAF的规则需要升级。单纯依赖黑名单是不够的,建议引入白名单机制,限制用户输入只能包含特定的字符集。比如用户名字段通常只允许字母、数字和下划线,可以用正则
/^[a-zA-Z0-9_]+$/来校验。另外,针对你提到的“%df%”返回敏感数据的问题,很可能是数据库的字符集配置有问题。检查一下MySQL的连接字符集,确保它设置为
utf8mb4,并且不要使用容易出问题的字符集比如GBK或latin1。最后一点,也是最容易被忽略的,就是API的权限控制。即使SQL注入被成功利用了,如果数据库用户权限配置得当,比如只给查询权限而不给结构访问权限,攻击者也很难获取表名或者其他敏感信息。
总结一下,防御SQL注入的最佳实践应该是多层防护:正确使用预编译查询、严格校验输入、合理配置WAF规则、确保数据库字符集安全、以及最小化数据库用户权限。每一层都做好了,才能最大程度降低风险。