如何利用数据库特性防注入_使用只读事务模式执行查询

张开发
2026/4/15 7:00:18 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

如何利用数据库特性防注入_使用只读事务模式执行查询
不能。只读事务仅限制写操作无法防御SQL注入攻击者仍可执行SELECT、UNION、延时函数等恶意查询防注入核心是参数化查询与最小权限账户配合。只读事务真能防 SQL 注入吗不能。只读事务 SET TRANSACTION READ ONLY 或 START TRANSACTION READ ONLY 仅限制写操作对 SQL 注入毫无防御力——攻击者照样能执行 SELECT、UNION、EXECUTE如 PostgreSQL 的 pg_sleep()甚至带副作用的函数。它防的是误写不是恶意拼接。常见错误现象上线后开了只读事务结果仍被扫出 1 OR SLEEP(5)-- 延时注入日志里看到大量 SELECT ... FROM users WHERE id 1 UNION SELECT password FROM admins ——这些查询在只读事务里照常执行。真正起作用的其实是参数化查询 权限隔离防注入的核心从来不是事务模式而是让 SQL 结构和数据彻底分离。只读事务只有配合最小权限账户才构成一层有效防线。数据库用户必须只拥有 SELECT 权限禁止 CREATE、EXECUTE、LOAD 等所有查询必须用预编译语句PreparedStatementJava、pg_query_params()PHP/PgSQL、cursor.execute(SELECT * FROM t WHERE id %s, [user_id])Python/psycopg2禁用字符串拼接构造 SQL尤其是拼接表名、字段名、排序方向等动态部分——这些无法参数化需白名单校验PostgreSQL / MySQL 中只读事务的实际用途它主要解决一致性与并发问题不是安全机制。比如长查询期间避免被其他事务的写操作阻塞或确保多次 SELECT 看到同一快照。使用场景 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手依托大模型帮助用户记录、整理和分析音视频内容体验用大模型做音视频笔记、整理会议记录。

更多文章