在当今数字化时代，Web应用程序已经成为人们生活和工作中不可或缺的一部分。然而，随着Web应用的广泛使用，安全问题也日益凸显，其中SQL注入攻击是最为常见且危险的攻击方式之一。SQL注入攻击是指攻击者通过在Web应用的输入字段中添加恶意的SQL代码，从而绕过应用程序的安全机制，获取、修改或删除数据库中的敏感信息。为了防止SQL注入攻击，提升Web应用的安全性，以下是一些核心步骤。

1. 输入验证和过滤

输入验证是防止SQL注入的第一道防线。在接收用户输入时，Web应用应该对输入的数据进行严格的验证和过滤，确保输入的数据符合预期的格式和范围。例如，如果用户输入的是一个整数，那么应用程序应该验证输入是否为有效的整数，而不是允许包含SQL代码的字符串。

可以使用正则表达式来验证输入的数据。以下是一个使用Python和Flask框架进行输入验证的示例代码：

from flask import Flask, request

app = Flask(__name__)

@app.route('/login', methods=['POST'])
def login():
    username = request.form.get('username')
    password = request.form.get('password')

    # 简单的输入验证
    if not username or not password:
        return '用户名和密码不能为空', 400

    # 更严格的验证可以使用正则表达式
    import re
    if not re.match(r'^[a-zA-Z0-9]+$', username):
        return '用户名只能包含字母和数字', 400

    # 继续处理登录逻辑
    return '登录成功', 200

if __name__ == '__main__':
    app.run()

在这个示例中，首先检查用户名和密码是否为空，然后使用正则表达式验证用户名是否只包含字母和数字。这样可以有效地防止恶意用户输入包含SQL代码的字符串。

2. 使用参数化查询

参数化查询是防止SQL注入的最有效方法之一。参数化查询是指在执行SQL语句时，将用户输入的参数与SQL语句分开处理，数据库会自动对参数进行转义，从而避免SQL注入攻击。

以下是一个使用Python和MySQL数据库进行参数化查询的示例代码：

import mysql.connector

# 连接数据库
mydb = mysql.connector.connect(
    host="localhost",
    user="yourusername",
    password="yourpassword",
    database="yourdatabase"
)

# 创建游标
mycursor = mydb.cursor()

# 定义SQL语句和参数
sql = "SELECT * FROM users WHERE username = %s AND password = %s"
val = ("john_doe", "password123")

# 执行参数化查询
mycursor.execute(sql, val)

# 获取查询结果
myresult = mycursor.fetchall()

for x in myresult:
    print(x)

在这个示例中，使用"%s"作为占位符来表示参数，然后将参数作为元组传递给"execute"方法。数据库会自动对参数进行转义，从而避免SQL注入攻击。

3. 限制数据库用户权限

为了降低SQL注入攻击的风险，应该限制数据库用户的权限。数据库用户应该只拥有执行必要操作的最低权限，而不是拥有所有的权限。例如，如果一个Web应用只需要查询数据库中的数据，那么数据库用户应该只拥有查询权限，而不应该拥有添加、更新或删除数据的权限。

以下是一个使用MySQL数据库创建具有有限权限的用户的示例代码：

-- 创建新用户
CREATE USER 'web_user'@'localhost' IDENTIFIED BY 'password';

-- 授予查询权限
GRANT SELECT ON yourdatabase.users TO 'web_user'@'localhost';

-- 刷新权限
FLUSH PRIVILEGES;

在这个示例中，创建了一个名为"web_user"的新用户，并授予了该用户对"yourdatabase"数据库中"users"表的查询权限。这样，即使攻击者成功进行了SQL注入攻击，也只能获取数据，而不能修改或删除数据。

4. 输出编码

在将数据库中的数据输出到Web页面时，应该对数据进行编码，以防止XSS（跨站脚本攻击）和SQL注入攻击。例如，如果数据库中的数据包含HTML标签，那么在输出到Web页面时，应该将这些标签进行转义，以防止攻击者注入恶意的JavaScript代码。

以下是一个使用Python和Flask框架进行输出编码的示例代码：

from flask import Flask, escape

app = Flask(__name__)

@app.route('/user/<username>')
def show_user_profile(username):
    # 对用户名进行编码
    escaped_username = escape(username)
    return f'用户: {escaped_username}'

if __name__ == '__main__':
    app.run()

在这个示例中，使用"escape"函数对用户名进行编码，将特殊字符转换为HTML实体，从而防止XSS攻击。

5. 定期更新和维护

定期更新和维护Web应用和数据库系统是防止SQL注入攻击的重要步骤。Web应用和数据库系统的开发者会不断修复安全漏洞，因此及时更新到最新版本可以有效地防止已知的SQL注入攻击。

此外，还应该定期对Web应用和数据库系统进行安全审计和漏洞扫描，及时发现和修复潜在的安全问题。可以使用一些专业的安全工具，如Nessus、Acunetix等，来进行安全审计和漏洞扫描。

6. 错误处理和日志记录

合理的错误处理和日志记录可以帮助开发者及时发现和处理SQL注入攻击。当Web应用遇到错误时，应该避免将详细的错误信息返回给用户，因为这些信息可能会泄露数据库的结构和敏感信息，给攻击者提供更多的攻击线索。

以下是一个使用Python和Flask框架进行错误处理的示例代码：

from flask import Flask

app = Flask(__name__)

@app.errorhandler(500)
def internal_server_error(error):
    # 记录错误日志
    import logging
    logging.error(f'内部服务器错误: {error}')
    return '服务器内部错误，请稍后再试', 500

if __name__ == '__main__':
    app.run()

在这个示例中，定义了一个错误处理函数，当Web应用遇到500错误时，会记录错误日志，并返回一个通用的错误信息给用户。

同时，应该对Web应用的访问日志和数据库操作日志进行记录和分析，及时发现异常的访问行为和SQL语句，从而采取相应的措施。

综上所述，防止SQL注入攻击，提升Web应用安全性需要综合采取多种措施。通过输入验证和过滤、使用参数化查询、限制数据库用户权限、输出编码、定期更新和维护、错误处理和日志记录等核心步骤，可以有效地防止SQL注入攻击，保护Web应用和数据库的安全。