星贝工具

SQL注入检测器

检测输入内容中的SQL注入攻击代码,提供安全建议和防护方案

输入检测内容

检测配置

请求模拟器

检测结果

输入内容进行SQL注入检测

防护建议

使用参数化查询
使用PreparedStatement或参数化查询避免SQL拼接
输入验证
对用户输入进行类型、长度、格式验证
最小权限原则
数据库用户只授予必要的最小权限
ORM框架
使用成熟的ORM框架自动处理SQL安全
错误处理
避免向用户展示详细的数据库错误信息
Web应用防火墙
部署WAF提供额外的安全防护层

安全代码示例

PHP (PDO)

$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$userId]);

Java (PreparedStatement)

String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setInt(1, userId);

Python (SQLAlchemy)

user = session.query(User).filter(User.id == user_id).first()

Node.js (mysql2)

const [rows] = await pool.execute(
  'SELECT * FROM users WHERE id = ?',
  [userId]
);
© 2026 星贝工具