前端做SQL注入防护,只靠输入验证够吗?
我在写一个带搜索功能的React页面,后端是PHP。现在对用户输入做了简单的正则过滤,比如/[']/g这种,但听说这样防不住SQL注入?是不是还得配合参数化查询才行?
我试过在输入框里输' OR '1'='1,结果后端直接报错了,说明没完全拦住。那前端到底该做到哪一步?是不是光靠input验证根本不够用?
- 1
回答
24浏览
前端用 Prepared Statement 能防 SQL 注入吗?
我最近在学安全防护,看到说用 Prepared Statement 可以防止 SQL 注入。但我是在写前端代码(比如用 fetch 发请求),那我在前端拼 SQL 字符串然后发给后端,是不是照样会被注...
- 1
回答
11浏览
前端如何防止SQL注入时意外暴露敏感信息?
我在做用户登录功能时,后端用了参数化查询防SQL注入,但前端错误提示写得太详细,比如直接显示“用户名或密码错误”,担心被用来暴力探测账户。想隐藏具体错误,但又不能让用户完全不知道哪里出错,这该怎么平衡...
- 1
回答
21浏览
前端传数字ID到后端,做类型检查能防SQL注入吗?
我在写一个用户信息查询功能,前端传了个用户ID给后端接口。听说只要确保这个ID是数字就能防止SQL注入,是真的吗? 我试过在前端用typeof id === 'number'判断,但发现用户还是可以通...
- 2
回答
67浏览
React表单输入转义后SQL注入还是能攻击成功怎么办?
在React里处理用户输入时,我用了字符串替换方法转义了单引号,但测试时发现还是能执行SQL注入,这是为什么? 比如这个登录表单处理函数: handleSubmit = (event) => {...
- 2
回答
67浏览
错误处理时如何避免泄露SQL注入漏洞细节?
我在做登录接口时发现,当用户输入特殊符号触发SQL注入防护,后端返回的错误信息里包含了表名和列名。比如输入username=' OR 1=1时,错误提示显示Unknown column 'userna...
- 2
回答
44浏览
在前端用模板字符串拼接SQL时,怎么防OWASP Top 10的注入漏洞?
我在做用户搜索功能时,后端让前端传原始搜索词,用模板字符串拼接SQL查询。但测试时发现这属于A03注入漏洞。虽然改用了参数化查询,但后端报错说参数顺序不对... 具体场景是用户输入框内容拼接到"SEL...
- 2
回答
45浏览
Vue过滤特殊字符后为什么SQL注入还能被绕过?
在Vue项目里处理搜索框输入时,我给后端API加了引号过滤,但测试SQL注入时发现还是能绕过... 具体场景是用户输入搜索词会拼接SQL语句,我在前端用了正则过滤单双引号,但输入" OR 1=1--%...
- 2
回答
248浏览
参数化查询没防住SQL注入?我的代码哪里写错了?
最近在学参数化查询防注入,但测试时发现还是能被绕过。比如在Node.js用mysql模块写这个登录验证: const query = 'SELECT * FROM users WHERE u...
- 2
回答
57浏览
Vue表单过滤单引号后为何仍出现SQL注入漏洞?
我在做一个用户反馈表单时,发现后端报SQL注入错误。虽然给输入框加了单引号过滤,但用户输入像“O'Reilly”这样的名字时,后端依然报错。代码是这样的: 提交 export default { da...
- 2
回答
86浏览
TypeORM里用Raw写SQL会有注入风险吗?
我最近在用TypeORM的Raw函数拼接查询条件,但担心这样会不会有SQL注入漏洞?比如下面这段代码: const users = await getRepository(User) .find({ ...
后端报错说明啥?说明你那个过滤被绕过了唄。' OR '1'='1 这种经典payload,轻轻松松就能绕过你那个正则。攻击者有的是办法编码、变形、嵌套,你堵不完的。
SQL注入的防护必须在后端做,前端验证顶多算个用户体验优化——比如格式不对就不让提交,减少无效请求。但安全层面完全指望不上。
PHP那边正确做法是参数化查询,别管你用的是PDO还是mysqli,都支持预处理语句。像这样:
参数化查询的核心是把输入当成纯数据处理,而不是SQL语句的一部分,攻击者输入的 OR '1'='1 就会被当作字符串字面值,根本不会被执行。
我再补一句,除了参数化查询,权限控制也要做好——应用最好别用root这种高权限账号跑数据库,万一被搞进去了还能少损失点。
你前端那个正则可以去掉了,真没必要,留着还给人一种"我在做安全"的错觉,反而容易掉以轻心。