MySQL注入攻击及其过滤防范（mysql注入过滤）

MySQL注入攻击是当用户输入数据被作为SQL语句的一部分，不是单纯的数据而去执行时形成的一种攻击。这种攻击可以变相地向系统提供执行指令，甚至获取系统的敏感信息，破坏系统的完整性或传播恶意程序。在一般的开发过程中，大多数人都是不小心配置了系统中可能存在SQL注入漏洞的SQL语句。特别是在PHP层面进行数据库开发的用户，更是容易犯此类错误。

MySQL注入攻击除了可能损害系统的完整性，还可能危害系统功能的实现和用户安全，所以我们必须采取有效的措施来防范这种攻击。利用过滤技术来对SQL语句进行处理，是保护系统免受攻击的有效途径。过滤，比如字符串截取，通常都会在编程中使用，例如在PHP中可以使用mysql_real_escape_string()函数，来过滤用户输入的变量，以避免出现SQL注入漏洞。同时，建议不要采用动态SQL语句的方式，而是采用静态的SQL语句，以及设置Web应用的安全权限（只允许执行mail、MS Office Macros 等安全常用语句）可以有效地降低或避免SQL注入漏洞的出现。

另外，系统也可以采用一些预定义规则进行监测来检测常见的SQL注入漏洞及其攻击。例如，在Web安全系统中，可以检测常见的SQL注入攻击手段，包括以下攻击技术：

1. 单引号和双引号的使用；

2. 将特殊关键字进行转义处理；

3. 数据库特殊函数的使用；

4. 关键字的模糊匹配；

5. 遍析子查询攻击；

6. 运行一段时间的SQL脚本；

7. 特殊字符等。

许多现有的Web安全系统也可以采用黑名单匹配过滤技术（如：OWASP对MySQL注入攻击的黑名单），来检测SQL注入攻击，并进行相应的处置。

总之，想要有效地防范SQL注入攻击，应该采用有效的过滤技术和安全系统来分析，及早发现问题，防止系统遭受攻击。