正则表达式防止 sql/脚本注入

Question

我正在尝试为客户端验证创建一个正则表达式（在服务器端验证之前），以防止 sql/脚本注入，即类似这样的东西 - 不工作

(script)|(<)|(>)|(%3c)|(%3e)|(SELECT) |(UPDATE) |(INSERT) |(DELETE)|(GRANT) |(REVOKE)|(UNION)|(<)|(>)

这个（上面的）表达式的正确格式是什么，以便我可以让它工作？

例如我的电子邮件检查器是这样的

(/^[^\\W][a-zA-Z0-9\\_\\-\\.]+([a-zA-Z0-9\\_\\-\\.]+)*\\@[a-zA-Z0-9_]+(\\.[a-zA-Z0-9_]+)*\\.[a-zA-Z]{2,4}$/))

哦，如果您能想到其他要添加的内容，请“喊”。

Answer 1

一般Sql Injection发生在传递给插入、更新、删除或选择等sql命令的参数的字符串中。此正则表达式验证 sql 命令中是否有任何内联或块注释。

/[\t\r\n]|(--[^\r\n]*)|(\/\*[\w\W]*?(?=\*)\*\/)/gi

Answer 2

您不能以任何方式阻止客户端的 SQL 注入尝试。这是一个可怕的、糟糕的想法，它不能帮助你，但可能会让真正的用户感到头疼。它不会阻止任何有机会实际利用 SQLi 的人。

就正则表达式而言，您需要在开头和结尾添加 / ，就像在您的邮件示例中一样，以表示它是一个正则表达式。此外，我认为正则表达式设计存在缺陷，因为它仍然允许许多注入向量。例如它允许可怕的单引号'、--cmets 和其他。它甚至没有开始涵盖 RDBMS 中可能出现的所有内置函数。攻击者经常会利用，例如SELECT 语句已经在您的服务器端，因此删除它们可能也无济于事。

您最好的防御是在服务器端使用参数化查询（例如 pg_prepare 用于 php 和 postgres）

Answer 3

只有 a-z 或 A-Z 或 4-8 个字符之间的 0-9：

^([a-z]|[A-Z]|[0-9]){4,8}$

Answer 4

转义控制字符（如“和”）更为常见，这样人们仍然可以将 SQL 代码输入到数据库中，比如在 CMS 上，我正在添加一篇关于 SQL 注入的文章。我想在不触发注入的情况下使用这些单词和字符。看着它，它似乎是基于 HTML 的东西，所以将 转换为 <和 >，这将净化所有 html 标签，同时仍然允许显示 HTML 演示内容。

正如已经说过的，这应该都是服务器端的，因为它进入了系统。

Answer 5

SQL 注入和转义对很多人来说听起来很神奇，就像抵御一些神秘的危险，但是：不要害怕 - 这没什么神奇的。这只是启用查询处理特殊字符的方法。

所以，不要发明新的魔法护盾和保护魔法注射危险的方法！相反，试着了解how escaping of the input works。