SQL注入防护：单引号转义的谬误

在软件开发领域，防止SQL注入攻击至关重要。虽然参数化SQL查询是输入清理的最佳方法，但一些开发人员仍然采用转义单引号并将用户输入用单引号括起来作为替代的防御机制。

有缺陷的转义技术

该方法包括将用户输入中的任何单引号替换为双单引号，并将整个字符串用单引号括起来：

sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'"

这种技术的原理是，用户输入的任何单引号都被有效地中和，防止字符串终止。因此，任何其他字符，例如分号或百分号，都成为字符串的一部分，而不会作为命令执行。

注入漏洞

但是，这种技术无法处理用户输入本身可能包含双单引号的情况。在这种情况下，字符串会终止，其余输入可以作为SQL命令执行。

示例输入

为了说明这一点，请考虑以下用户输入：

'SensitiveData' HAVING AMOUNT>2000 OR ''=''

执行后，代码将变为：

SELECT * FROM ACCOUNT WHERE NAME='SensitiveData' HAVING AMOUNT>2000 OR ''=''

此输入成功地将OR子句注入到SQL查询中，绕过了预期的清理。

进一步的考虑

务必注意，这种转义技术存在其他漏洞，包括：

• 不能防御所有类型的SQL注入攻击，例如使用注释或其他语句终止符的攻击。
• 引入性能和维护开销。
• 导致代码难以阅读和理解。

最佳实践

不要依赖临时输入清理技术，请遵循以下最佳实践以防止SQL注入：

• 使用参数化SQL查询或JDBC预准备语句。
• 只允许预期的输入值和格式（白名单）。
• 仅在绝对必要且在实施其他缓解措施后才使用黑名单。
• 避免动态SQL和字符串连接。
• 考虑使用具有有限数据库权限的存储过程。