在当今数字化的时代，数据库的安全至关重要。SQL注入是一种常见且危险的攻击方式，攻击者通过在查询语句中注入恶意的SQL代码，来获取、修改或删除数据库中的数据。在查询场景下，防止SQL注入是保障数据库安全的关键。下面将详细介绍防止SQL注入的基本策略。

使用参数化查询

参数化查询是防止SQL注入最有效的方法之一。它将SQL语句和用户输入的数据分离开来，数据库系统会自动对输入的数据进行处理，避免了恶意代码的注入。

在不同的编程语言和数据库系统中，参数化查询的实现方式有所不同。以下是一些常见的示例：

在Python中使用SQLite进行参数化查询：

import sqlite3

# 连接到数据库
conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# 用户输入
username = "admin'; DROP TABLE users; --"
password = "password"

# 参数化查询
query = "SELECT * FROM users WHERE username =? AND password =?"
cursor.execute(query, (username, password))

# 获取查询结果
results = cursor.fetchall()
for row in results:
    print(row)

# 关闭连接
conn.close()

在上述代码中，使用问号（?）作为占位符，将用户输入的数据作为参数传递给"execute"方法。这样，即使输入中包含恶意代码，也会被当作普通数据处理，不会影响SQL语句的结构。

在Java中使用JDBC进行参数化查询：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class ParametrizedQueryExample {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/mydb";
        String user = "root";
        String password = "password";

        try (Connection conn = DriverManager.getConnection(url, user, password)) {
            String username = "admin'; DROP TABLE users; --";
            String inputPassword = "password";

            String query = "SELECT * FROM users WHERE username =? AND password =?";
            PreparedStatement pstmt = conn.prepareStatement(query);
            pstmt.setString(1, username);
            pstmt.setString(2, inputPassword);

            ResultSet rs = pstmt.executeQuery();
            while (rs.next()) {
                System.out.println(rs.getString("username"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

在Java中，使用"PreparedStatement"对象进行参数化查询。通过"setString"等方法将用户输入的数据设置到占位符中，同样可以避免SQL注入。

输入验证和过滤

除了使用参数化查询，对用户输入进行验证和过滤也是非常重要的。通过对输入数据进行检查，只允许合法的数据进入系统，可以进一步降低SQL注入的风险。

验证输入的长度：可以设置输入字段的最大长度，避免过长的输入可能包含恶意代码。例如，在一个用户名输入框中，限制用户名的长度为20个字符。

验证输入的类型：根据字段的要求，验证输入的数据类型。例如，一个年龄字段应该只允许输入数字。可以使用正则表达式来进行验证。

import re

def is_valid_age(age):
    pattern = r'^\d+$'
    return bool(re.match(pattern, age))

age = "25"
if is_valid_age(age):
    print("Valid age")
else:
    print("Invalid age")

过滤特殊字符：对输入中的特殊字符进行过滤，特别是那些可能用于SQL注入的字符，如单引号（'）、分号（;）等。

def filter_special_chars(input_string):
    special_chars = ["'", ";", "--"]
    for char in special_chars:
        input_string = input_string.replace(char, "")
    return input_string

input_data = "admin'; DROP TABLE users; --"
filtered_data = filter_special_chars(input_data)
print(filtered_data)

最小化数据库权限

为数据库用户分配最小的必要权限是防止SQL注入造成严重后果的重要策略。如果一个应用程序只需要读取数据库中的数据，那么就不应该为该应用程序的数据库用户分配写入或删除数据的权限。

例如，创建一个只读用户：

在MySQL中，可以使用以下语句创建一个只读用户：

-- 创建用户
CREATE USER'read_only_user'@'localhost' IDENTIFIED BY 'password';

-- 授予只读权限
GRANT SELECT ON your_database.* TO'read_only_user'@'localhost';

-- 刷新权限
FLUSH PRIVILEGES;

这样，即使攻击者通过SQL注入获取了该用户的权限，也只能读取数据，无法进行修改或删除操作，从而降低了数据泄露和损坏的风险。

更新和维护数据库管理系统

数据库管理系统（DBMS）的开发者会不断修复已知的安全漏洞，因此及时更新和维护DBMS是非常重要的。定期检查并安装DBMS的最新补丁，可以有效防止因系统漏洞而导致的SQL注入攻击。

例如，MySQL会定期发布安全更新，用户可以从官方网站下载并安装最新版本的MySQL，以确保系统的安全性。

使用Web应用防火墙（WAF）

Web应用防火墙（WAF）可以在应用程序和网络之间提供一层额外的安全防护。WAF可以检测和阻止包含恶意SQL代码的请求，从而防止SQL注入攻击。

一些常见的WAF产品，如ModSecurity，它可以作为Apache或Nginx的模块使用。通过配置规则，ModSecurity可以识别并拦截可能的SQL注入请求。

以下是一个简单的ModSecurity规则示例，用于检测包含SQL注入特征的请求：

SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS|REQUEST_URI "@rx (?i)(?:union\s+select|drop\s+table|delete\s+from)" "id:1001,deny,status:403,msg:'Possible SQL injection attempt'"

这个规则会检查请求的参数、请求头和URI中是否包含常见的SQL注入关键字，如果检测到则拒绝该请求，并返回403状态码。

日志记录和监控

建立完善的日志记录和监控系统可以帮助及时发现和处理SQL注入攻击。记录所有的数据库操作和相关的请求信息，包括请求的IP地址、时间、SQL语句等。

通过分析日志，可以发现异常的操作模式，如频繁的错误查询、异常的数据库访问等。一旦发现可疑行为，及时采取措施，如封锁IP地址、通知管理员等。

例如，在Python中使用"logging"模块记录数据库操作日志：

import logging
import sqlite3

# 配置日志
logging.basicConfig(filename='database.log', level=logging.INFO,
                    format='%(asctime)s - %(levelname)s - %(message)s')

# 连接到数据库
conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# 用户输入
username = "admin"
password = "password"

# 执行查询
query = "SELECT * FROM users WHERE username =? AND password =?"
try:
    cursor.execute(query, (username, password))
    results = cursor.fetchall()
    logging.info(f"Query executed successfully. Results: {results}")
except Exception as e:
    logging.error(f"Error executing query: {e}")

# 关闭连接
conn.close()

综上所述，在查询场景下防止SQL注入需要综合使用多种策略。通过使用参数化查询、输入验证和过滤、最小化数据库权限、更新和维护DBMS、使用WAF以及日志记录和监控等方法，可以有效地降低SQL注入的风险，保障数据库的安全。